Forum Clubic

[RESOLU] virus sous Windows XP (initiés sous IE) - tout est dans le titre

Bonjour à tous
A chaque fois que je me connecte à internet, j’ai des problèmes et sûrement un (ou des) virus
Alors, et bien, j’y perds mon latin, ou si vous préférez, le peu de mes petites connaissances sur XP
et j’ai donc fait comme les autres (aprés spybot, etc…)

j’ai démarré en mode sans échec

j’ai désactivé la restauration système

j’ai lancé HijackThis

et voilà le log

Logfile of HijackThis v1.99.1
Scan saved at 12:48:25, on 14/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\Netlib.exe
C:\WINDOWS\System32\spooler.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\…\Run: [Device Detector] “C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe” -autorun
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [slvchost] slvchost32.exe
O4 - HKLM\…\Run: [Rundll 32 Bit] rundl132.exe
O4 - HKLM\…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\…\Run: [Starting up] wvsvc.exe
O4 - HKLM\…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM\…\Run: [Compliant] Compliant.exe
O4 - HKLM\…\Run: [Windows Registry Server] spoolsvc.exe
O4 - HKLM\…\Run: [*WssocksAPI] wssocksapi.exe
O4 - HKLM\…\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\…\Run: [chl2v735] C:\WINDOWS\System32\chl2v735.exe
O4 - HKLM\…\Run: [Micrsoft Internet Explorer] IEXPL0RE.EXE
O4 - HKLM\…\Run: [svcdata.exe] svcdata.exe
O4 - HKLM\…\Run: [Outpost Firewall] “C:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe” /waitservice
O4 - HKLM\…\Run: [MSDOS Security Service] msdos.pif
O4 - HKLM\…\RunServices: [slvchost] slvchost32.exe
O4 - HKLM\…\RunServices: [Rundll 32 Bit] rundl132.exe
O4 - HKLM\…\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\…\RunServices: [Compliant] Compliant.exe
O4 - HKLM\…\RunServices: [Windows Registry Server] spoolsvc.exe
O4 - HKLM\…\RunServices: [Micrsoft Internet Explorer] IEXPL0RE.EXE
O4 - HKLM\…\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKLM\…\RunServices: [*WssocksAPI] wssocksapi.exe
O4 - HKLM\…\RunServices: [svcdata.exe] svcdata.exe
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Auto updat (crcss.exe) - Unknown owner - C:\WINDOWS\System32\crsrs.exe" -netsvcs (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe
O23 - Service: restore - Unknown owner - C:\WINDOWS\restore.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

Qu’en pensent les spécialistes ?
Merci

Salut,

A faire :

  • Démarrer en mode sans échec
  • Lancer HijackThis, cocher puis fixer les lignes suivantes :
    O4 - HKLM\…\Run: [slvchost] slvchost32.exe
    O4 - HKLM\…\Run: [Rundll 32 Bit] rundl132.exe
    O4 - HKLM\…\Run: [Starting up] wvsvc.exe
    O4 - HKLM\…\Run: [Compliant] Compliant.exe
    O4 - HKLM\…\Run: [Windows Registry Server] spoolsvc.exe
    O4 - HKLM\…\Run: [*WssocksAPI] wssocksapi.exe
    O4 - HKLM\…\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
    O4 - HKLM\…\Run: [chl2v735] C:\WINDOWS\System32\chl2v735.exe
    O4 - HKLM\…\Run: [Micrsoft Internet Explorer] IEXPL0RE.EXE
    O4 - HKLM\…\Run: [svcdata.exe] svcdata.exe
    O4 - HKLM\…\Run: [MSDOS Security Service] msdos.pif
    O4 - HKLM\…\RunServices: [slvchost] slvchost32.exe
    O4 - HKLM\…\RunServices: [Rundll 32 Bit] rundl132.exe
    O4 - HKLM\…\RunServices: [Starting up] wvsvc.exe
    O4 - HKLM\…\RunServices: [Compliant] Compliant.exe
    O4 - HKLM\…\RunServices: [Windows Registry Server] spoolsvc.exe
    O4 - HKLM\…\RunServices: [Micrsoft Internet Explorer] IEXPL0RE.EXE
    O4 - HKLM\…\RunServices: [MSDOS Security Service] msdos.pif
    O4 - HKLM\…\RunServices: [*WssocksAPI] wssocksapi.exe
    O4 - HKLM\…\RunServices: [svcdata.exe] svcdata.exe
    O23 - Service: Auto updat (crcss.exe) - Unknown owner - C:\WINDOWS\System32\crsrs.exe" -netsvcs (file missing)
    O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe
    O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe
    O23 - Service: restore - Unknown owner - C:\WINDOWS\restore.exe
  • Afficher tous les fichiers cachés et protégés par le système :
    –> Panneau de config -> Options des dossiers :
  • cocher Afficher les fichiers et dossiers cachés
  • décocher Masquer les fichiers protégés du système d’exploitation
  • décocher Masquer les extensions connues
  • Rechercher et supprimer tous les fichiers concernés + tout le dossier C:\Program Files\Media Gateway.
    Attention : pour IEXPL0RE.EXE, supprime toute instance autre que celle dans C:\Program Files\Internet Explorer
  • Vider le cache Internet + cookies : Panneau de config -> Options Internet -> onglet Général : Supprimer les cookies + Supprimer les fichiers (cocher les deux cases)
  • Vider le dossier TEMP : Démarrer -> Exécuter -> %TEMP% -> OK -> supprimer tout le contenu.
  • Vider la corbeille.
  • Recacher les fichiers cachés + système
  • Redémarrer et repasser HijackThis.

Yo!
Merci de cette réponse ultra-rapide nglechau
Tout a été fait
Voilà le nouveau log :

Logfile of HijackThis v1.99.1
Scan saved at 14:54:21, on 14/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\Netlib.exe
C:\WINDOWS\System32\spooler.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\…\Run: [Device Detector] “C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe” -autorun
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM\…\Run: [Outpost Firewall] “C:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe” /waitservice
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Auto updat (crcss.exe) - Unknown owner - C:\WINDOWS\System32\crsrs.exe" -netsvcs (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

Est-ce correct maintenant ?
Merci

Ca va mieux, mais il t’en reste trois (à fixer dans HijackThis et supprimer le fichier physiquement) :
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe
O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe

Il faut ensuite parcourir cette clé de registre :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
et regarder dans chaque sous-clé, si la donnée de sa valeur ImagePath est un des trois exe cités dessus, il faut supprimer cette sous-clé (poste le contenu si tu as un doute).

Est-ce que tu as un dossier TCP_quelque_chose dans C:\Windows\system32 ? Si oui, donne son nom complet + la liste des fichiers qu’il contient.

PS : pour plus de visibilité, tu peux cliquer sur le bouton http://www.clubic.com/forum/style_images/persoclubic/intervenir.gif en bas de la page pour ouvrir la case de réponse rapide et éviter ainsi de quoter un message trop long :slight_smile:

A fixer également :
O23 - Service: Auto updat (crcss.exe) - Unknown owner - C:\WINDOWS\System32\crsrs.exe" -netsvcs (file missing)

Après ça, passe quand même un coup de scan antivirus en ligne pour être sûr :wink:

genre sur secuser, ou panda on-line

Yo, man
j’ai fait ce que a été préconisé
voilà le nouveau log, mais, mais, mais cf +bas

Logfile of HijackThis v1.99.1
Scan saved at 16:14:12, on 14/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\Netlib.exe
C:\WINDOWS\System32\spooler.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\…\Run: [Device Detector] “C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe” -autorun
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM\…\Run: [Outpost Firewall] “C:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe” /waitservice
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Auto updat (crcss.exe) - Unknown owner - C:\WINDOWS\System32\crsrs.exe" -netsvcs (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum – C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

A noter que les 2 lignes 023 en rouge gras bien qu’ayant été fixées re-apparaissent !!!!

  • pas de dossier TCP_… dans C:\Windows\system32
    Merci de vos conseils
    @+

Qu’en est-il des clés de registre pour les services ? Quelles sont les clés que tu as supprimées ?

Suis la fiche Sophos pour crsrs.exe :
http://www.sophos.com/virusinfo/analyses/w32forbotbp.html
–> onglet Advanced pour supprimer les clés incriminées :
(abréviation : HKLM = HKEY_LOCAL_MACHINE)

Et pour spooler.exe :
http://www.sophos.com/virusinfo/analyses/w32codbotx.html

==> suppression des clés de registre ajoutées par ces vers + suppression des fichiers infectés eux-même.

Yo!
1000 excuses pour les « lignes en rouge gras »
ce sont celles-ci :
O23 - Service: Auto updat (crcss.exe) - Unknown owner - C:\WINDOWS\System32\crsrs.exe" -netsvcs (file missing)
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner – C:\WINDOWS\System32\spooler.exe

Seule la sous-clé NETLIB dans la clé de registre suivante :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] a été supprimée

Merci de ton obligeance
@+

Pas grave, j’avais compris et t’ai donné les liens Sophos pour éradiquer les deux autres.

La fiche pour netlib.exe :
http://www.sophos.com/virusinfo/analyses/trojcratera.html

–> tuer netlib.exe + spooler.exe dans le gestionnaire des tâches (Ctrl-Alt-Suppr) avant de fixer les lignes dans HijackThis et supprimer les fichiers.

A voir également :
http://www.sophos.com/virusinfo/analyses/w32cratera.html

Yo!
je procède
@+

Yo!
J’ai procédé
j’ai tenté une reconnexion internet …
Les virus sont tous revenus !!!
J’abandonne pour l’instant avant de tout recommencer.

@+ et merci à tous

Système à jour (Windows, antivirus) ? Revois la config de ton pare-feu.

Yo, men
Ouf, tout est OK maintenant; je vais pouvoir faire toutes màj nécessaires!
Le sujet peut-être clos
Merci à tous

Cool, content pour toi :clap:

Si tu veut clore ton sujet, tu EDIT le PREMIER message que tu as fait, et tu rajoute [RESOLU] devant le sujet ^^

Bonne MAJ