[RESOLU] virus sous Windows XP (initiés sous IE) - tout est dans le titre

alex_69 · Septembre 14, 2005, 2:07

Bonjour à tous
A chaque fois que je me connecte à internet, j’ai des problèmes et sûrement un (ou des) virus
Alors, et bien, j’y perds mon latin, ou si vous préférez, le peu de mes petites connaissances sur XP
et j’ai donc fait comme les autres (aprés spybot, etc…)

j’ai démarré en mode sans échec

j’ai désactivé la restauration système

j’ai lancé HijackThis

et voilà le log

Logfile of HijackThis v1.99.1
Scan saved at 12:48:25, on 14/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\Netlib.exe
C:\WINDOWS\System32\spooler.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\…\Run: [Device Detector] “C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe” -autorun
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [slvchost] slvchost32.exe
O4 - HKLM\…\Run: [Rundll 32 Bit] rundl132.exe
O4 - HKLM\…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\…\Run: [Starting up] wvsvc.exe
O4 - HKLM\…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM\…\Run: [Compliant] Compliant.exe
O4 - HKLM\…\Run: [Windows Registry Server] spoolsvc.exe
O4 - HKLM\…\Run: [*WssocksAPI] wssocksapi.exe
O4 - HKLM\…\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\…\Run: [chl2v735] C:\WINDOWS\System32\chl2v735.exe
O4 - HKLM\…\Run: [Micrsoft Internet Explorer] IEXPL0RE.EXE
O4 - HKLM\…\Run: [svcdata.exe] svcdata.exe
O4 - HKLM\…\Run: [Outpost Firewall] “C:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe” /waitservice
O4 - HKLM\…\Run: [MSDOS Security Service] msdos.pif
O4 - HKLM\…\RunServices: [slvchost] slvchost32.exe
O4 - HKLM\…\RunServices: [Rundll 32 Bit] rundl132.exe
O4 - HKLM\…\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\…\RunServices: [Compliant] Compliant.exe
O4 - HKLM\…\RunServices: [Windows Registry Server] spoolsvc.exe
O4 - HKLM\…\RunServices: [Micrsoft Internet Explorer] IEXPL0RE.EXE
O4 - HKLM\…\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKLM\…\RunServices: [*WssocksAPI] wssocksapi.exe
O4 - HKLM\…\RunServices: [svcdata.exe] svcdata.exe
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Auto updat (crcss.exe) - Unknown owner - C:\WINDOWS\System32\crsrs.exe" -netsvcs (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe
O23 - Service: restore - Unknown owner - C:\WINDOWS\restore.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

Qu’en pensent les spécialistes ?
Merci

Souralloy · Septembre 14, 2005, 2:18

Salut,

A faire :

Démarrer en mode sans échec
Lancer HijackThis, cocher puis fixer les lignes suivantes :
O4 - HKLM\…\Run: [slvchost] slvchost32.exe
O4 - HKLM\…\Run: [Rundll 32 Bit] rundl132.exe
O4 - HKLM\…\Run: [Starting up] wvsvc.exe
O4 - HKLM\…\Run: [Compliant] Compliant.exe
O4 - HKLM\…\Run: [Windows Registry Server] spoolsvc.exe
O4 - HKLM\…\Run: [*WssocksAPI] wssocksapi.exe
O4 - HKLM\…\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\…\Run: [chl2v735] C:\WINDOWS\System32\chl2v735.exe
O4 - HKLM\…\Run: [Micrsoft Internet Explorer] IEXPL0RE.EXE
O4 - HKLM\…\Run: [svcdata.exe] svcdata.exe
O4 - HKLM\…\Run: [MSDOS Security Service] msdos.pif
O4 - HKLM\…\RunServices: [slvchost] slvchost32.exe
O4 - HKLM\…\RunServices: [Rundll 32 Bit] rundl132.exe
O4 - HKLM\…\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\…\RunServices: [Compliant] Compliant.exe
O4 - HKLM\…\RunServices: [Windows Registry Server] spoolsvc.exe
O4 - HKLM\…\RunServices: [Micrsoft Internet Explorer] IEXPL0RE.EXE
O4 - HKLM\…\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKLM\…\RunServices: [*WssocksAPI] wssocksapi.exe
O4 - HKLM\…\RunServices: [svcdata.exe] svcdata.exe
O23 - Service: Auto updat (crcss.exe) - Unknown owner - C:\WINDOWS\System32\crsrs.exe" -netsvcs (file missing)
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe
O23 - Service: restore - Unknown owner - C:\WINDOWS\restore.exe
Afficher tous les fichiers cachés et protégés par le système :
–> Panneau de config -> Options des dossiers :

cocher Afficher les fichiers et dossiers cachés
décocher Masquer les fichiers protégés du système d’exploitation
décocher Masquer les extensions connues

Rechercher et supprimer tous les fichiers concernés + tout le dossier C:\Program Files\Media Gateway.
Attention : pour IEXPL0RE.EXE, supprime toute instance autre que celle dans C:\Program Files\Internet Explorer
Vider le cache Internet + cookies : Panneau de config -> Options Internet -> onglet Général : Supprimer les cookies + Supprimer les fichiers (cocher les deux cases)
Vider le dossier TEMP : Démarrer -> Exécuter -> %TEMP% -> OK -> supprimer tout le contenu.
Vider la corbeille.
Recacher les fichiers cachés + système
Redémarrer et repasser HijackThis.

alex_69 · Septembre 14, 2005, 3:05

Yo!
Merci de cette réponse ultra-rapide nglechau
Tout a été fait
Voilà le nouveau log :

Logfile of HijackThis v1.99.1
Scan saved at 14:54:21, on 14/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\Netlib.exe
C:\WINDOWS\System32\spooler.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\…\Run: [Device Detector] “C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe” -autorun
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM\…\Run: [Outpost Firewall] “C:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe” /waitservice
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Auto updat (crcss.exe) - Unknown owner - C:\WINDOWS\System32\crsrs.exe" -netsvcs (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

Est-ce correct maintenant ?
Merci

nglechau:

Salut,

A faire :
*

Démarrer en mode sans échec

Lancer HijackThis, cocher puis fixer les lignes suivantes :
O4 - HKLM\…\Run: [slvchost] slvchost32.exe
O4 - HKLM\…\Run: [Rundll 32 Bit] rundl132.exe
O4 - HKLM\…\Run: [Starting up] wvsvc.exe
O4 - HKLM\…\Run: [Compliant] Compliant.exe
O4 - HKLM\…\Run: [Windows Registry Server] spoolsvc.exe
O4 - HKLM\…\Run: [*WssocksAPI] wssocksapi.exe
O4 - HKLM\…\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\…\Run: [chl2v735] C:\WINDOWS\System32\chl2v735.exe
O4 - HKLM\…\Run: [Micrsoft Internet Explorer] IEXPL0RE.EXE
O4 - HKLM\…\Run: [svcdata.exe] svcdata.exe
O4 - HKLM\…\Run: [MSDOS Security Service] msdos.pif
O4 - HKLM\…\RunServices: [slvchost] slvchost32.exe
O4 - HKLM\…\RunServices: [Rundll 32 Bit] rundl132.exe
O4 - HKLM\…\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\…\RunServices: [Compliant] Compliant.exe
O4 - HKLM\…\RunServices: [Windows Registry Server] spoolsvc.exe
O4 - HKLM\…\RunServices: [Micrsoft Internet Explorer] IEXPL0RE.EXE
O4 - HKLM\…\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKLM\…\RunServices: [*WssocksAPI] wssocksapi.exe
O4 - HKLM\…\RunServices: [svcdata.exe] svcdata.exe
O23 - Service: Auto updat (crcss.exe) - Unknown owner - C:\WINDOWS\System32\crsrs.exe" -netsvcs (file missing)
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe
O23 - Service: restore - Unknown owner - C:\WINDOWS\restore.exe

Afficher tous les fichiers cachés et protégés par le système :
–> Panneau de config -> Options des dossiers :

cocher Afficher les fichiers et dossiers cachés

décocher Masquer les fichiers protégés du système d’exploitation

décocher Masquer les extensions connues

Rechercher et supprimer tous les fichiers concernés + tout le dossier C:\Program Files\Media Gateway.
Attention : pour IEXPL0RE.EXE, supprime toute instance autre que celle dans C:\Program Files\Internet Explorer

Vider le cache Internet + cookies : Panneau de config -> Options Internet -> onglet Général : Supprimer les cookies + Supprimer les fichiers (cocher les deux cases)

Vider le dossier TEMP : Démarrer -> Exécuter -> %TEMP% -> OK -> supprimer tout le contenu.

Vider la corbeille.

Recacher les fichiers cachés + système

Redémarrer et repasser HijackThis.

Souralloy · Septembre 14, 2005, 3:27

Ca va mieux, mais il t’en reste trois (à fixer dans HijackThis et supprimer le fichier physiquement) :
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe

Il faut ensuite parcourir cette clé de registre :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
et regarder dans chaque sous-clé, si la donnée de sa valeur ImagePath est un des trois exe cités dessus, il faut supprimer cette sous-clé (poste le contenu si tu as un doute).

Est-ce que tu as un dossier TCP_quelque_chose dans C:\Windows\system32 ? Si oui, donne son nom complet + la liste des fichiers qu’il contient.

PS : pour plus de visibilité, tu peux cliquer sur le bouton http://www.clubic.com/forum/style_images/persoclubic/intervenir.gif en bas de la page pour ouvrir la case de réponse rapide et éviter ainsi de quoter un message trop long

Souralloy · Septembre 14, 2005, 3:31

A fixer également :
O23 - Service: Auto updat (crcss.exe) - Unknown owner - C:\WINDOWS\System32\crsrs.exe" -netsvcs (file missing)

_Ric_1_1 · Septembre 14, 2005, 3:51

Après ça, passe quand même un coup de scan antivirus en ligne pour être sûr

genre sur secuser, ou panda on-line

alex_69 · Septembre 14, 2005, 4:45

Yo, man
j’ai fait ce que a été préconisé
voilà le nouveau log, mais, mais, mais cf +bas

Logfile of HijackThis v1.99.1
Scan saved at 16:14:12, on 14/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\Netlib.exe
C:\WINDOWS\System32\spooler.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\…\Run: [Device Detector] “C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe” -autorun
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM\…\Run: [Outpost Firewall] “C:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe” /waitservice
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Auto updat (crcss.exe) - Unknown owner - C:\WINDOWS\System32\crsrs.exe" -netsvcs (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

A noter que les 2 lignes 023 en rouge gras bien qu’ayant été fixées re-apparaissent !!!!

pas de dossier TCP_… dans C:\Windows\system32
Merci de vos conseils
@+

Souralloy · Septembre 14, 2005, 4:49

Qu’en est-il des clés de registre pour les services ? Quelles sont les clés que tu as supprimées ?

Souralloy · Septembre 14, 2005, 4:57

Suis la fiche Sophos pour crsrs.exe :
http://www.sophos.com/virusinfo/analyses/w32forbotbp.html
–> onglet Advanced pour supprimer les clés incriminées :
(abréviation : HKLM = HKEY_LOCAL_MACHINE)

Et pour spooler.exe :
http://www.sophos.com/virusinfo/analyses/w32codbotx.html

==> suppression des clés de registre ajoutées par ces vers + suppression des fichiers infectés eux-même.

alex_69 · Septembre 14, 2005, 5:06

Yo!
1000 excuses pour les « lignes en rouge gras »
ce sont celles-ci :
O23 - Service: Auto updat (crcss.exe) - Unknown owner - C:\WINDOWS\System32\crsrs.exe" -netsvcs (file missing)
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner C:\WINDOWS\System32\spooler.exe

Seule la sous-clé NETLIB dans la clé de registre suivante :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] a été supprimée

Merci de ton obligeance
@+

Souralloy · Septembre 14, 2005, 5:09

Pas grave, j’avais compris et t’ai donné les liens Sophos pour éradiquer les deux autres.

Souralloy · Septembre 14, 2005, 5:11

La fiche pour netlib.exe :
http://www.sophos.com/virusinfo/analyses/trojcratera.html

–> tuer netlib.exe + spooler.exe dans le gestionnaire des tâches (Ctrl-Alt-Suppr) avant de fixer les lignes dans HijackThis et supprimer les fichiers.

Souralloy · Septembre 14, 2005, 5:12

A voir également :
http://www.sophos.com/virusinfo/analyses/w32cratera.html

alex_69 · Septembre 14, 2005, 5:13

Yo!
je procède
@+

alex_69 · Septembre 14, 2005, 7:33

Yo!
J’ai procédé
j’ai tenté une reconnexion internet …
Les virus sont tous revenus !!!
J’abandonne pour l’instant avant de tout recommencer.

@+ et merci à tous

Souralloy · Septembre 14, 2005, 7:38

Système à jour (Windows, antivirus) ? Revois la config de ton pare-feu.

alex_69 · Septembre 16, 2005, 10:05

Yo, men
Ouf, tout est OK maintenant; je vais pouvoir faire toutes màj nécessaires!
Le sujet peut-être clos
Merci à tous

pitinonoz · Septembre 16, 2005, 10:17

Cool, content pour toi

Si tu veut clore ton sujet, tu EDIT le PREMIER message que tu as fait, et tu rajoute [RESOLU] devant le sujet ^^

Bonne MAJ