Virus recalcitrant sous windows XP

Bonsoir,
j’ai un ami qui par tel me dit que son antivirus et anti-trojan ont trouvés le virus
virtualmode.dll
après multiple effacement, il réapparait toujours… je lui ai fait faire un scan antivirus en ligne , effacement mais après redemarrage il est toujours là…
une idée à part le formatage, il à trop de données sur sont poste
merci

Donne moi plus de détail anti virus etc
Télécharge hijackthis il le lance il clic sur “do a system scan and save a logfile” il génére un fichier texte il fait un copier coller et il le post pour qu’on l’analyse.
@+ :jap:
Edité le 25/04/2008 à 22:57

Spybot search end destroy , c’est moi qui lui ait conseillé et il a avast antivirus
mais il ne peux plus installer aucun autre antivirus, ni faire de scan en ligne c’est bizarre

Qu’il essaye hijackthis tiens moi au courant.
@+ :jap:

hijackthis ne se lance pas et quant il essaie de le retelecharger il est diriger vers une autre page en anglais.
il à essayer à partir d’un clf usb et rien à faire
plus d’antivirus rien. le noir total

Il arrive pas a l’installer ou a le lancer?
Si il n’arrive pas a le lancer il peut essayer ceci:
Clic droit sur le raccourcie > propriétés > rechercher la cible, une fois là il renomme hijackthis.exe en super.exe et il le lance depuis ce dossier.
@+ :jap:

Salut Raphy89 je reponds à ton MP

Ce trojan est assez coriace… puisqu’il modifie le winlogon et certains fichiers windows…

dans tous les cas :

couper la connexion internet
booter en mode sans echec.

avoir sur un cd ou une clef usb

antivirus portable (ClamWin par exmple)
antitrojan (pour spybot tu peux copier le dossier d’installation, d’un PC propre)

et lancer les scans…

ca c’est la première étape

a+

Merci. je lui communique et te tiens au courant
++

Ok
a+

ou telecharger l’antivirus

désolé j’ai omis le liens :…:neutre:

www.infos-du-net.com…

a+

merci

ca marche, ,juste su(il n’a plus sa connection internet.
c’est du au manipulation?

en reponse au MP…

c’est normal…

il lui faut taper ces commandes

NETSH WINSOCK RESET

NETSH FIREWALL RESET

NETSH INT IP RESET C:\RESETLOG.TXT

pour reinittialiser le protocole Internet (TCP/IP) et le pare feu au cas ou…

il redemarre ensuite

a+

je vois ca demain avec lui
merci

De rien

et n’hésites pas à me contacter

a+

Bon tout fonctionne, mais pas moyen d’aaceder à son parefeu

que faire?

c’est à dire…?

dans outils d’administration, services

Pare feu windows/et partage… inactif ?

il te suffit de demarrer le service…et de le laisser en automatique.

a+

justement il est en automatique mais le demarrage est grisé.
qyand on clique dessus pour voir les parametres on à une fenetre
“le service bla bla ne put etre demarré.bla bla”

bon une methode que je ien de trouver (chez crosoft) pour le pare feu:

Pour installer le Pare-feu Windows, procédez comme suit :

  1. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.

  2. À l’invite de commandes, tapez la ligne de commande suivante, puis appuyez sur ENTRÉE :

Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf

  1. Redémarrez Windows.

  2. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.

  3. À l’invite de commandes, tapez la commande suivante, puis appuyez sur la touche Entrée :

Netsh firewall reset

  1. Cliquez sur Démarrer, sur Exécuter, tapez firewall.cpl, puis cliquez sur ENTRÉE. Dans la boîte de dialogue Pare-feu Windows, cliquez sur Activé (recommandé), puis sur OK.

Méthode 2 : Ajout de l’entrée du Pare-feu Windows au Registre
Pour ajouter l’entrée du Pare-feu Windows au Registre, procédez comme suit :

  1. Copiez le texte suivant dans le Bloc-notes,
    puis enregistrez-le sous Sharedaccess.reg :

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,
6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Fournit des services de traduction d'adresses réseau, d'adressage IP, de résolution de noms et/ou de prévention d'intrusion pour un réseau de petite entreprise ou un réseau domestique."
"DisplayName"="Pare-feu Windows/Partage de connexion Internet (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,
69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,
00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\LEGACY_SHAREDACCESS\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

  1. Double-cliquez sur Sharedaccess.reg pour fusionner le contenu de ce fichier avec celui du Registre et créer l’entrée du Pare-feu Windows.

  2. Redémarrez Windows.

  3. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.

  4. À l’invite de commandes, tapez la commande suivante, puis appuyez sur la touche Entrée :
    Netsh firewall reset

  5. Cliquez sur Démarrer, sur Exécuter, tapez firewall.cpl, puis cliquez sur OK.

  6. Configurez les paramètres requis pour le Pare-feu.

a+