virus

[bellete]

bonjour
decidement les ennuis continus
ce matin au bout d'un quart d'heure de connection norton me dit que mon
ordi est infecté par un virus nommé downloader.trojan mais je ne sais pas
ou il se trouve j'ai fait ad aware spybot norton sans resultat + regfreeze
+ microsoft anti spyware sans resultat
ayant fait un point de restauration hier est ce que je ne peux pas faire une
restauration?je vous enverai le log hijackthis ce soir car il faut que je parte au
boulot
merci a+

[Colibri]

Salut bellete

Comme on se retrouve! Généralement quand tu fais une analyse avec Norton, il te dit dans quel repertoitre il se trouve, suffit de mettre ton curseur sur le nom du virus pour qu'il te dévoile où qu'il se trouve!
Sinon, le conseil que je te donne, désactive le point de restauration tu démarres en mode sans echec (f8) et tu fais une analyse avec Norton en mode sans échec et profite s'en aussi de faire une analyse avec Spyboot ou/et Ad-aware, normalement le downloader trojan, devrait être débarrasser, j'ai eu affaire à lui, et j'ai pu m'en débarrasser! Une fois tout fait, tu reviens en mode normal et tu remets ton point de restauration!

Tiens nous au courant!

Bye

[Mechanics]

Salut.

Vide le cache d'internet explorer, il doit être certainement là dedans

[Colibri]

Euh...Meca, con que je suis, biensûr, lol! j'y avais pas pensé, me suis souvenu maintenant que tu le dis! MDR!

Slaut,
tu as eu une alerte, mais ton scan ne trouve rien, c'est donc que le virus a ete eradiquer avant infection :l
m'enfin quand tu devras renouveller ta licence pour Norton, je te conseil de changer, les produit sysmentec sont de moins en moins fiable et performant face a la concurance, pour des prix exorbitant

[bellete]

bonsoir a tous
donc si j'ai bien conpris pour l'instant je vide le cache d'internet explorer
et je m'affole pas je surveille
j'en profite pour vous demander a quelle moment precis il faut appuyer
sur la touche f8 et la procedure a suivre?
j'ai tres souvent des alertes de norton mais la il me dit q'il a detecté et bloqué
une tentative d'intrusions et cette fois ci il me disais que mon ordi etait infecté
concernant norton je pense que je suivrai vos conseils d'ailleurs les mises a jours
son de plus en plus frequentes actuellement
est ce que je vous poste quand meme le log hijackvis?
concernant l'enplacement de la bestiole c'est vrai que si on restait calme il suffirait
de cliquer et de lire mais moi mon premier reflexe a ete de me deconecter
merci a tous et bonne soirée

[Colibri]

Re-moi

Mon conseil, vide donc comme te l'a dit Mechanics les Temporary Internet Files, mais refait par sécurité une analyse avec Norton! Si par la suite Norton te trouve encore quelque chose, et ne l'a pas irradié, dans ces cas là le mode sans échec pourrait être utile!
Comment cela fonctionne, tu redémarres ton pc, et tout de suite au démarrage, tu tapes sur la touche F8, plusieurs fois excessivement, jusqu'en tu vois un écran noir s'afficher et appercevoir un menu étendu pour choisir le mode de démarrage de Windows, et tu sélectionnes le mode sans échec avec tes flèches à côté du pavé numérique et enter ! Le reste s'affichera et tu fais comme en mode normal, tu sélectionnes Norton dans tous les programmes pour faire l'analyse! et comme je te l'ai dit, profite s'en de faire aussi avec Spyboot et/ou Ad-aware ou un logiciel anti Spyware!
Voilà, pour la suite si tu n'es pas sûr on est là!

Poste quand meme le log d'hijackthis
En tout cas tres bon reflex que de se deconnecter

[bellete]

re bonsoir
je vais te poser une question bete
on ne peut pas passer en mode sans echec dans msconfig utilitaire de configuration systeme boot.ini et cocher safe boot ?
sinon j'aimerai vider le cache d'internet a sa fermeture c'est bien
hkey_current_ user software microfost windows current version internet settings
cache persistent valeur 0 au lieu de 1 q'il faut faire?
sinon j'ai lu tes deboires avec regcleaner chez moi il fontione bien
(pour une fois que quelque chose marche chez moi!!!!!!)
mrerci pour tes renseignements A+

[bellete]

re bonsoir
ci joint le log hickjLogfile of HijackThis v1.99.1
Scan saved at 19:27:37, on 17/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\PROGRA~1\Wanadoo\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Outlook Express Launcher\OELauncher.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: LostGoggles plug-in (web site preview snapshots - www.lostgoggles.com) - {6291957C-8CE9-4c90-BEFF-12D9E68CFF30} - C:\Program Files\LostGoggles\LGoggles.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Masquer les images - C:\WINDOWS\web\MaskImage.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .avi: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .bmp: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin9.dll
O12 - Plugin for .m3u: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin8.dll
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin7.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF8CC2E6-03E6-4905-8976-F39A02338A3D}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.ex e
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

acks