Forum Clubic

Problème avec des virus... - Ratsu.B, Flood.F, dossiers bizarres

Bonjour à tous :hello:

Voilà mon problème :
D’après Hijackthis[/url], je suis infecté par deux virus : Ratsu.B, Flood.F (le rapport est ici : [url=http://www.hijackthis.de/logfiles/5d1b1da945d82bf24f73c87f15fcac6b.html)]http://www.hijackthis.de/logfiles/5d1b1da9…f15fcac6b.html).
J’ai bien retrouvé les rapports de symantec à propos de ces virus, mais rien pour les supprimer :confused:
(http://securityresponse.symantec.com/avcenter/venc/data/backdoor.irc.ratsou.b.html et http://securityresponse.symantec.com/avcen…c.flood.f.html))

De plus, hier, je me suis retrouvé avec mon bureau vidé de quasiment toutes ses icones (à part une ou deux exceptions).
Mon menu démarrer s’est également bien vidé (dans “tous les programmes”).
J’ai aussi perdu tous mes favoris dans IE.

Je me suis donc intéressé à mon dossier de session dans documents and settings et je me suis rendu compte que ces dossiers sont dupliqués : Desktop en plus de Bureau, Start Menu en plus de Menu Démarrer et deux dossier Favoris.
Le dossier Bureau contient bien toutes les icônes et fichiers mais ne s’afichent pas sur le bureau, j’en déduis donc que c’est Desktop qui est utilisé.
Idem pour les favoris.

Autre chose, de temps à autre, les icônes de la colonne de gauche dans le menu démarrer ne s’affichent plus du tout (colonne toute grise).

A votre avis, celà vient-il aussi d’un virus ?
Pourriez-vous m’aider à résoudre tout ces problèmes svp ?

NB:

  • j’utilise le pare-feu de WinXP SP2 (qui n’est pas détecté par Hijackthis, soit dit en passant) et avast! 4.6 comme antivirus.
  • j’ai déjà fait un scan avec adware et spybot S&D ainsi qu’un scan antivirus programmé au démarrage avec Avast! et le problème persiste :frowning:

Bonjour,

A faire :

  • Démarrer en mode sans échec
  • Désactiver la restauration système : clic droit sur le Poste de travail -> Propriétés -> onglet Restauration système -> cocher Désactiver… -> OK.
  • Lancer HijackThis, cocher puis fixer les lignes suivantes :
    O4 - HKLM\…\Run: [smss] C:\WINDOWS\System\SMSS.EXE
    O4 - HKLM\…\Run: [lsass Service] C:\WINDOWS\system\lsass.exe
  • Afficher tous les fichiers cachés et protégés par le système :
    –> Panneau de config -> Options des dossiers :
  • cocher Afficher les fichiers et dossiers cachés
  • décocher Masquer les fichiers protégés du système d’exploitation
  • décocher Masquer les extensions connues
  • Rechercher et supprimer les fichiers suivants si trouvés :
    C:\WINDOWS\system\lsass.exe
    C:\WINDOWS\System\SMSS.EXE

Attention : ne pas tromper de dossier !

  • Vider le cache Internet + cookies : Panneau de config -> Options Internet -> onglet Général : Supprimer les cookies + Supprimer les fichiers (cocher les deux cases)
  • Vider le dossier TEMP : Démarrer -> Exécuter -> %TEMP% -> OK -> supprimer tout le contenu.
  • Vider la corbeille.
  • Recacher les fichiers cachés + système
  • Redémarrer et repasser HijackThis.Pour le problème des menus et icônes, vérifie les clés de registre suivant :
    http://windowsxp.mvps.org/usershellfolders.htm

en "francisant" le nom des dossiers (Menu Démarrer/Bureau/etc.)

Bonjour,

Dans la fiche de Backdoor.IRC.Ratsou.B ( Removal instructions )
on voit aussi la valeur "HID.exe" qui a été ajoutée dans la clé
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-> supprimer cette valeur

Nettoyage additionnel:

>En mode sans échec:
supprimer les fichiers mentionnés dans les 2 fiches Symantec aux paragraphes:
"Removing the additional files" ( = supprimer les fichiers ajoutés)

Installer aussi ce programme : a-squared free
ce logiciel est plus spécialisé dans la recherche trojans ; c’est un complément aux anti-virus
a-squared free ==> http://www.emsisoft.net/fr/
et le passer de temps en temps

[un p’tit :hello: à Nglechau ]

Alors comme expliqué, j’ai supprimé les fichiers concernant les deux virus signalés par Hijackthis et ils ne sont plus détectés :slight_smile:

Par contre, j’ai toujours le problème de dossiers dupliqués : je vais regardé ce que m’a proposé nglechau :wink:
Je vais aussi faire un scan avec a-squared free par sécurité ^^

Par contre, le FireWall d’XP SP2 n’est pas détecté par Hijackthis, c’est normal ?
Sinon, auriez-vous un firewall gratuit et simple d’utilisation à me proposer ? (à part Zone Alarm, car il utilise bcp trop de RAM :/)

firewalls:

jette un oeil sur cette page : ils sont là
http://www.clubic.com/logiciel-windows-237-0-0-firewall.html
Kerio a l’air très bien - voir les avis utilisateurs

@mike27 : coucou too :wink:

@Nero62 : oui, c’est normal que le pare-feu n’y est pas reporté.