Forum Clubic

[Virus] Plusieurs virus non identidifés

Bonjour,

Je dois “réparer” deux pc contaminés par des virus mais je n’y arrive pas…

Pour le premier :
Aucun symptome visible… mais le firewall du réseau détecte une activité SMTP suspecte.
Avec Norton Antivirus et Ad-Aware à jour, rien n’est détecté…

Pour le second :
Celui-ci est pas mal contaminé… (un pc personnel d’un collegue)
Au démarrage, le bloc note se lance (vide). Malgré l’antivirus à jour et activé, il n’arrive pas à supprimer les virus ni à les mettre en quarantaine…
Lors de la dernière analyse, le pc a même complètement planté.
Le lecteur DVD et CD sont inexistant dans le poste de travail et il y a qq spywares résistant à Ad-Aware.
A part un formatage, je ne vois pas trop comment résoudre tous ces problèmes…

Si vous aviez qq indications, je vous en serai gré, merci.

essaye en mode sans échec avec Starter et Hijackthis pour voir ce qui tourne et les bloquer
ensuite tu y veras plus clair

Bonjour

utilise Hijackthis et regarde dans le rapport , si tu ne vois pas le programme en question

@+

Hier, je me suis chopé un spyware indétectable avec adaware et spybot mis à jour.

Quelques symptômes associés :
icône (rond rouge avec une croix blanche) dans la barre des tâches).
Page de démarrage redirigée sur specialgoods.info ou quelque chose comme ça.
Fenêtres ie qui s’ouvrent toutes seules
une douzaine d’icônes créées sur le bureau (de tous les utilisateurs du poste).

Solution :

  1. Redémarrage en mode sans Echec (F8 au démarrage avant le lancement de windows).
  2. Suppression du fichier param32.dll situé dans c:\winnt\system32\ ainsi que de tous les fichiers créés à la même heure ce jour là.
  3. Dans la base de registre supprimer toute référence à param32.dll et modifier la page de démarrage d’Internet Explorer.
  4. En prévention j’ai créé dans c:\winnt\system32 un fichier texte vide que j’ai nommé param32.dll et pour lequel j’ai mis les attributs “fichier system” + “lecture seule”. L’idéal serait de pouvoir inclure ce fichier dans le catalogue de sécurité de windows, mais je n’ai pas regardé comment c’était faisable.

En mode sans échec, Windows ne veut pas démarrer…
Ecran bleu, erreur kernel…

Lors j’utilise Ad-Aware ou Norton, qq fois, le disque dur se met à faire un drôle de bruit et le pc plante o bout de qq minutes (il ne reste que le fond d’écran de visible, tout a disparu, rien n’est accessible).

Il y a un programme que je n’arrive pas à supprimer Admili Service.

Avec Hijackthis, j’ai supprimé pas mal de trucs mais je ne vois tjrs pas les lecteurs cd et dvd…

Si t’avais activé le resident de spybot-SD 'taurrais pu éviter car il gère toutes modifications apportés à la BdRegistre.

:slight_smile: ça ressemble à ça ?

C:\Program Files\Admilli Service[b]AdmilliServ.exe[/b]

O4 - HKLM…\Run: [Admilli Service] C:\Program Files\Admilli Service[b]AdmilliServ.exe[/b]

c’est un spyware (variante WinUpdates)
http://castlecops.com/startuplist-6732.html
http://www.bleepingcomputer.com/startups/AdmilliServ.exe-168.html

Si tu te sers de l’hijack

  1. tu dois fixer la ligne 04 avant tu fais ctrl/alt/supp et ensuite tu repasses sur le log et tu fixes (fixe les lignes trouvées dans l’hijack (coche chaque case & Fix Checked))) (si le processus est bien listé en 04/programme (ouch! :whistle: )du démarrage chargé dès l’ouverture de l’ordi)

  2. Ensuite après les fix et en mode sans échec (de préférence) tu supprimes le fichier complet (voir dans Program Files) - avant affiche bien “tous les dossiers cachés et protégés” et désactive la restauration système

Spybot n’était pas installé sur ce poste, étant donné que c’est ma machine de boulot, et que par conséquent on est pas sensé récupérer de spyware étant donné qu’on n’est pas payé à surfer sur le web surtout sur les sites sur lequels pullulent les spywares :wink:

A l’exception de moi, vu que je m’occupe des PCs. En l’occurence, je cherchais à savoir s’il y avait un “patch” permettant de faire fonctionner Codesoft 4 sous windows 2000 (Ce soft est protégé par un dongle clé HASP qui n’est pas reconnu par windows 2000 malgré le driver hasp installé, probablement parce qu’il essaie d’accèder en direct au port parallèle). Cette recherche m’a mené, vous l’imaginez, vers des sites peu recommendables :wink: :whistle:

:heink: :ouch: bigre , damn … j’imagine la tronche du gus quand/si l’admin a demandé des explications :ange:

Sur le site, c’est + ou - moi l’admin (j’ai pas le titre réel), et je pense pas que les admins de new york passent leur temps à regarder les logs (enfin j’espère :smiley: toute façon depuis le temps, ils auraient blacklisté clubic :lol: )