Virus win32.Virtob • page 3

[Grego]

O4 - HKLM..Run: [reader_s] C:WINDOWSSystem32 eader_s.exe
Aie, il est encore là lui ...

Par contre il n'est plus chargé dans les processus donc il est peut être en train de rendre l'âme, ce qui serait une bonne nouvelle

Donc lance HiJackThis, et fix:

O4 - HKLM..Run: [reader_s] C:WINDOWSSystem32 eader_s.exe
O4 - HKUSS-1-5-18..Run: [bndkgsih.exe] C:WINDOWSndkgsih.exe (User '?')
O4 - HKUS.DEFAULT..Run: [bndkgsih.exe] C:WINDOWSndkgsih.exe (User 'Default user')

-- Ensuite, tu fais un scan en ligne ICI

-- Tu suis Ce tutoriel dans son intégralité. Une fois le dossier terminé tu refais un HijackThis que tu rerere-posteras en esperant vraiment pour toi que reader_s n'y apparaîtra plus sinon on partira sur du AVP tool ... Donc passe la nuit a prier et allume un cierge pour résumer, car tu as quand même choppé un des pires que je connaisse là...

[jyl2803]

ma foi s'il faut supprimer ce fichier, pourquoi ne pas le faire en ligne de commande au démarrage (bon d'accord, il ne fait pas se tromper...) ou avec un live CD linux ? Expérience faite, c'est ma foi très efficace et rapide, pourvu que l'on connaisse précisément le nom du responsable, (ce qui est le cas grâce à grego ) ?

[sparkweb]

il est vrai que ce soir j'ai eu la flemme de prendre l'autre navigateur (safari)
sinon oui je suis sous xp pro sp2.
pour le disque dur externe j'en ai déjà deux mais ils sont plus que plein
et vi a taille il coutent quand même très chers et pour le moment je ne peux plus me le permettre

[Grego]

ma foi s'il faut supprimer ce fichier, pourquoi ne pas le faire en ligne de commande au démarrage (bon d'accord, il ne fait pas se tromper...) ou avec un live CD linux ? Expérience faite, c'est ma foi très efficace et rapide, pourvu que l'on connaisse précisément le nom du responsable, (ce qui est le cas grâce à grego ) ?

J'avais mal lu donc j'efface et je recommence

Effectivement maintenant que le process n'est plus chargé tu peux essayer de supprimer C:WINDOWSSystem32 eader_s.exe à la main avant de relancer HiJackThis.
Penses à vider la corbeille et effacer les points de restauration également !

Sur ce je vais dormir, il m'a épuiser celui là

Et merci à jyl2803 de me suivre pour m'aider, tu interviens sur 2 posts et sur ces 2 posts j'ai omis des infos Fais gaffe que je m'habitue pas je vais plus ta lâcher après

[sparkweb]

et oui on c'est réjouit trop tôt
ce matin la machine ne voulait plus rien savoir, je suis avec l'ordinateur d'un collègue...
vous parliez à un moment d'installer sp3 ce qui a éé tenté, mais ininstallable a cause de l'utilisation de ndis.sys (serait-ce une indication utile ? serait-ce par de .sys que le virus revient ? ...)

[jyl2803]

Et merci à jyl2803 de me suivre pour m'aider

le hasard et un peu de chance pour le vieux schnock que je suis !!

B'soir, ATOM, bienvenue au club !

Bon, soyons sérieux. Y a t il sur ce PC la possibilité de sauvegarder tout ce qui est important (live CD linux par ex) ???

ndis, sauf erreur, ce n'est pas un pilote de modem ADSL ???

[sparkweb]

Bon, soyons sérieux. Y a t il sur ce PC la possibilité de sauvegarder tout ce qui est important (live CD linux par ex) ???

ndis, sauf erreur, ce n'est pas un pilote de modem ADSL ???

pour le pilote je ne sais pas du tout
live cd linux je n'ai pas
et le fichiers important pour les mettre il faut des quantités astronomique (certain des fichiers important fon 10 a 15 GO (je suis en train de faire un long métrage en 3D et en haute définition)

[Grego]

Heu ... de toute façon avant d'envisager quoi que ce soit il faut être sur que le virus n'ai plus là. Il serait complètement illusoire de sauvegarder des données qui contiennent de la vermine... donc j'aimerai qu'on essaye d'en finir avec cette vermine avant d'envisager quoi que ce soit...

On reprend donc, Sparkweb, tu en est où ?

Effectivement maintenant que le process n'est plus chargé tu peux essayer de supprimer C:WINDOWSSystem32 eader_s.exe à la main avant de relancer HiJackThis.
Penses à vider la corbeille et effacer les points de restauration également !

Donc lance HiJackThis, et fix:

O4 - HKLM..Run: [reader_s] C:WINDOWSSystem32 eader_s.exe
O4 - HKUSS-1-5-18..Run: [bndkgsih.exe] C:WINDOWSndkgsih.exe (User '?')
O4 - HKUS.DEFAULT..Run: [bndkgsih.exe] C:WINDOWSndkgsih.exe (User 'Default user')

-- Ensuite, tu fais un scan en ligne ICI

-- Tu suis Ce tutoriel dans son intégralité. Une fois le dossier terminé tu refais un HijackThis que tu rerere-posteras en esperant vraiment pour toi que reader_s n'y apparaîtra plus sinon on partira sur du AVP tool ... Donc passe la nuit a prier et allume un cierge pour résumer, car tu as quand même choppé un des pires que je connaisse là...

Une autre question: Depuis nos dernières manip., as tu branché un disque externe (clé usb, sdcard, dd externe ou autre) entre le moment où tout allait mieux est celui où rien ne va plus ?

[sparkweb]

j'en suis que le reader_s je l'ai supprimé et il est revenu comme si de rien n'était...
donc pour le moment la machine infectée n'est même plus connecté au réseau.
mais une question idiote qui me traverse l'esprit: si je prend le disque dur, je le mets dans un rack spécialiséet que je le scan d'une autre machine cela suffirait il ?

[sparkweb]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:41, on 08/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesMicrosoft Xbox 360 AccessoriesXboxStat.exe
C:Program FilesJavajre1.6.0_07injusched.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesBonjourmDNSResponder.exe
C:Program FilesDCPFLICSdcpflics.exe
C:Program FilesMalwarebytes' Anti-Malwarembamgui.exe
C:PROGRA~1cebasip-clampipclamp.exe
C:Program FilesFichiers communsLightScribeLSSrvc.exe
C:Program FilesiTunesiTunesHelper.exe
C:Program FilesMalwarebytes' Anti-Malwarembamservice.exe
C:Program FilesMicrosoft IntelliPointipoint.exe
C:Program FilesMicrosoft OfficeOffice12GrooveMonitor.exe
C:Program FilesFichiers communsMicrosoft SharedVS7DEBUGmdm.exe
C:Program FilesEPSONCreativity SuiteEvent ManagerEEventManager.exe
C:Program FilesAutodesk3ds Max 2009mentalraysatellite aysat_3dsMax2009_32server.exe
C:Program FilesCreativeCreative Live! CamVideoFXStartFX.exe
C:Program FilesMicrosoft IntelliPointdpupdchk.exe
C:Program FilesAutodesk3ds Max 9mentalraysatellite aysat_3dsmax9_32server.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesNeroNero8Nero BackItUpNBService.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesFichiers communsLightScribeLightScribeControlPanel.exe
C:Program FilesFichiers communsNeroLibNMIndexStoreSvr.exe
C:Program FilesStardockImpulseImpulse.exe
C:Program FilesMicrosoft ActiveSyncwcescomm.exe
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32IoctlSvc.exe
C:PROGRA~1MI3AA1~1 apimgr.exe
C:WINDOWSSystem32 eader_s.exe
C:Program FilesCyberLinkShared filesRichVideo.exe
C:WINDOWSsystem32 cpsvcs.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesiPodiniPodService.exe
C:Program FilesFichiers communsNeroLibNMIndexingService.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesLogitechGamePanel SoftwareLGDevAgt.exe
C:Program FilesLogitechGamePanel SoftwareG-series SoftwareLGDCore.exe
C:Program FilesLogitechGamePanel SoftwareLCD ManagerLCDMon.exe
C:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDClock.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Documents and SettingsAdministrateur.TITANIUM.000Bureausniff.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:PROGRA~1MICROS~3Office12GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_07inssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:Program FilesAdobe/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM..Run: [XboxStat] "C:Program FilesMicrosoft Xbox 360 AccessoriesXboxStat.exe" silentrun
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_07injusched.exe"
O4 - HKLM..Run: [NeroFilterCheck] C:Program FilesFichiers communsNeroLibNeroCheck.exe
O4 - HKLM..Run: [NBKeyScan] "C:Program FilesNeroNero8Nero BackItUpNBKeyScan.exe"
O4 - HKLM..Run: [Malwarebytes' Anti-Malware] "C:Program FilesMalwarebytes' Anti-Malwarembamgui.exe" /starttray
O4 - HKLM..Run: [LanguageShortcut] "C:Program FilesCyberLinkPowerDVDLanguageLanguage.exe"
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [ISUSScheduler] "C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe" -start
O4 - HKLM..Run: [ISUSPM Startup] "C:Program FilesFichiers communsInstallShieldUpdateServiceISUSPM.exe" -startup
O4 - HKLM..Run: [IntelliPoint] "C:Program FilesMicrosoft IntelliPointipoint.exe"
O4 - HKLM..Run: [GrooveMonitor] "C:Program FilesMicrosoft OfficeOffice12GrooveMonitor.exe"
O4 - HKLM..Run: [EEventManager] C:Program FilesEPSONCreativity SuiteEvent ManagerEEventManager.exe
O4 - HKLM..Run: [EasyTuneVPro] C:Program FilesGigabyteET5ProETcall.exe
O4 - HKLM..Run: [AVFX Engine] C:Program FilesCreativeCreative Live! CamVideoFXStartFX.exe
O4 - HKLM..Run: [AppleSyncNotifier] C:Program FilesFichiers communsAppleMobile Device SupportinAppleSyncNotifier.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [reader_s] C:WINDOWSSystem32 eader_s.exe
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [services] C:WINDOWSservices.exe
O4 - HKLM..Run: [Launch LgDevAgt] "C:Program FilesLogitechGamePanel SoftwareLgDevAgt.exe"
O4 - HKLM..Run: [Launch LCDMon] "C:Program FilesLogitechGamePanel SoftwareLCD ManagerLCDMon.exe"
O4 - HKLM..Run: [Launch LGDCore] "C:Program FilesLogitechGamePanel SoftwareG-series SoftwareLGDCore.exe" /SHOWHIDE
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [LightScribe Control Panel] C:Program FilesFichiers communsLightScribeLightScribeControlPanel.exe -hidden
O4 - HKCU..Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:Program FilesFichiers communsNeroLibNMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU..Run: [ImpulseFastStart] "C:Program FilesStardockImpulseImpulse.exe" /fastload
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft ActiveSyncwcescomm.exe"
O4 - HKCU..Run: [CursorXP] C:Program FilesCursorXPCursorXP.exe
O4 - HKCU..Run: [Creative Live! Cam Manager] "C:Program FilesCreativeCreative Live! CamLive! Cam ManagerCTLCMgr.exe"
O4 - HKCU..Run: [reader_s] C:Documents and SettingsAdministrateur.TITANIUM.000 eader_s.exe
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKUSS-1-5-21-448539723-436374069-725345543-500..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe (User '?')
O4 - HKUSS-1-5-21-448539723-436374069-725345543-500..Run: [LightScribe Control Panel] C:Program FilesFichiers communsLightScribeLightScribeControlPanel.exe -hidden (User '?')
O4 - HKUSS-1-5-21-448539723-436374069-725345543-500..Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:Program FilesFichiers communsNeroLibNMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 (User '?')
O4 - HKUSS-1-5-21-448539723-436374069-725345543-500..Run: [ImpulseFastStart] "C:Program FilesStardockImpulseImpulse.exe" /fastload (User '?')
O4 - HKUSS-1-5-21-448539723-436374069-725345543-500..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft ActiveSyncwcescomm.exe" (User '?')
O4 - HKUSS-1-5-21-448539723-436374069-725345543-500..Run: [CursorXP] C:Program FilesCursorXPCursorXP.exe (User '?')
O4 - HKUSS-1-5-21-448539723-436374069-725345543-500..Run: [Creative Live! Cam Manager] "C:Program FilesCreativeCreative Live! CamLive! Cam ManagerCTLCMgr.exe" (User '?')
O4 - HKUSS-1-5-21-448539723-436374069-725345543-500..Run: [reader_s] C:Documents and SettingsAdministrateur.TITANIUM.000 eader_s.exe (User '?')
O4 - HKUSS-1-5-21-448539723-436374069-725345543-500..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe (User '?')
O4 - HKUSS-1-5-18..Run: [reader_s] C:Documents and SettingsAdministrateur.TITANIUM.000 eader_s.exe (User '?')
O4 - HKUS.DEFAULT..Run: [reader_s] C:Documents and SettingsAdministrateur.TITANIUM.000 eader_s.exe (User 'Default user')
O4 - .DEFAULT User Startup: Pin.lnk = C:hpinCLOAKER.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~3Office12EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:PROGRA~1MICROS~3Office12ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:PROGRA~1MICROS~3Office12ONBttnIE.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O15 - Trusted Zone: http://gendarmes-en-colere.forum2discussion.net
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 9425322359
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 5200483390
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/s ... DEXAXO.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:PROGRA~1MICROS~3Office12GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:Program FilesFichiers communsAdobe Systems SharedServiceAdobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:Program FilesFichiers communsAdobeAdobe Version Cue CS3ServerinVersionCueCS3.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:Program FilesFichiers communsAutodesk SharedServiceAdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:Program FilesBonjourmDNSResponder.exe
O23 - Service: DCPFLICS service (DCPFLICS) - Unknown owner - C:Program FilesDCPFLICSdcpflics.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:Program FilesFichiers communsMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver1050Intel 32IDriverT.exe
O23 - Service: IPCLAMP by cebas Computer GmbH (IPClampService) - Unknown owner - C:PROGRA~1cebasip-clampipclamp.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:Program FilesFichiers communsLightScribeLSSrvc.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:Program FilesMalwarebytes' Anti-Malwarembamservice.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max Design 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - C:Program FilesAutodesk3ds Max 2009mentalraysatellite aysat_3dsMax2009_32server.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:Program FilesAutodesk3ds Max 9mentalraysatellite aysat_3dsmax9_32server.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:Program FilesNeroNero8Nero BackItUpNBService.exe
O23 - Service: NMIndexingService - Nero AG - C:Program FilesFichiers communsNeroLibNMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:WINDOWSsystem32IoctlSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:Program FilesCyberLinkShared filesRichVideo.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:Program FilesRoxioDigital Home 9RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:Program FilesRoxioDigital Home 9RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:Program FilesFichiers communsRoxio Shared9.0SharedCOMRoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:Program FilesFichiers communsRoxio Shared9.0SharedCOMRoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:Program FilesFichiers communsRoxio Shared9.0SharedCOMRoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:Program FilesFichiers communsSureThing Sharedstllssvr.exe

--
End of file - 14874 bytes

et oui le revoila de retour
dur dur celui la c'est vraiment le pire truc que j'ai vu, je me demande si sasser en 2004 etait pas moin casse pied

[Grego]

Oui bien de retour même.
En ce qui me concerne la dernière chose qu'on peut tenter est très bien expliqué sur ce post .
par contre l'analyse est très longue, tu devrais le faire de nuit.

Si là ça ne marche pas je ne vois plus rien à faire, mes compétences s'arrêtant là.
r@in | b0w sera peut être mieux t'informer lorsqu'il passera par là, moi a part le formatage (j'ai bien compris que tu ne peux pas) je ne vois pas...
Donc tente cette dernière solution, et on verra ce que ça donne...

[jyl2803]

voici bien longtemps, je fus victime de "roimoi", un machin qui se régénérait un peu de la sorte. En fait, une DLL régénérait le fichier exe.....Une semaine de galère....

Il faudrait donc regarder si, par hasard, une dll n'a pas un nom "bizarre" (mais le nom des dll, hein.....) et la passer à l'antivirus. Voire la supprimer en la renommant....et tester. Mais cela risque d'être long....

Je ne connais pas l'outil AVPtool. Venant de kaspersky, ce doit ête sérieux.... A tester en premier, AMHA.

Mais que se passe t il en fixant O4 - HKLM..Run: [reader_s] C:WINDOWSSystem32 eader_s.exe et aussi HKCU..Run: [reader_s] C:Documents and SettingsAdministrateur.TITANIUM.000 eader_s.exe avec hijackthis ???

il y a ces clés de registre à virer via regedit si possible: O4 - HKUSS-1-5-21-448539723-436374069-725345543-500..Run: [reader_s] C:Documents and SettingsAdministrateur.TITANIUM.000 eader_s.exe (User '?') et O4 - HKUSS-1-5-18..Run: [reader_s] C:Documents and SettingsAdministrateur.TITANIUM.000 eader_s.exe (User '?') et encore
O4 - HKUS.DEFAULT..Run: [reader_s] C:Documents and SettingsAdministrateur.TITANIUM.000 eader_s.exe (User 'Default user')
(en virant les fichiers associés dans C:Documents and SettingsAdministrateur.TITANIUM.000 eader_s.exe s'ils se laissent faire)

Et as tu essayé de lancer hikackthis en le renommant auparavant (par ex en toto.exe) ? l pourrait éventuellement trouver autre chose....

J'ajouterais qu'un outil comme filealyzer pourrait peut être permettre de cerner les DLL appelées par ce reader .exe...... ?

[Ask to Old Man]

Un passage éclair pour répondre au salut de jyl2803, & tenter de faire garder le moral autant
à Grego pour sa tentative de désinfection qu'à sparkweb pour qu'il ne perde pas son précieux travail.

Je n'ai jamais caché que rien ne me faisais plus ch... que la désinfection, mais j'ai un peu fouiné
sur le Net & pas de bol ce "Virut" semble être une lourde Me... D'après ce que j'en retire,
Ce "bestiau" ne semble qu'infecter tous les .exe présent dans la machine dans le but unique
d'assurer une connexion au Net par un canal IRC pour "zombifier" la machine infectée.

Ce qui pourrai laisser entendre qu'une récupération de tous tes gros fichiers sur un disque externe
pourrait être envisageable. A la condition expresse de ne surtout pas transférer d'éxecutable Windows.

Pourquoi ne pas envisager de le faire avec une machine Linux ou encore avec un Mac (Intel)
quoique je sois moins certains par manque de connaissance des machines à la Pomme.

Ce ne sont que des suppositions gratuites, mais... ...Why not disent nos voisins d'outre-Channel.

[jyl2803]

j'ai trouvé aussi ceci (sans AUCUNE garantie...) http://www.avg.com/us.virus-removal.ndi-67762

Ce qui pourrai laisser entendre qu'une récupération de tous tes gros fichiers sur un disque externe
pourrait être envisageable. A la condition expresse de ne surtout pas transférer d'éxecutable Windows.

Re, oldman !
C'est un peu ce que je sous entendais en proposant de tout sauvegarder puis... une fois n'est pas coutume, de réinstaller......

Que pensent les linuxiens d'une analyse en ligne par un AV linux type clamwin , pour ce genre de situation ????

[r@in | b0w]

Bonjour.

Oulala, je ne squatte pas du we et Grego fait un carton

Le fameux reader_s.exe a l'air un peu sérieux, toutefois, la plupart des antivirus semblent à même de le supprimer d'où mon scepticisme...

Suite à un petit surf rapide, il sera probable que ce soit une infection virut... avec une forte probabilité de formatage obligatoire ensuite.

En attendant:


1_ Tu télécharges ComboFix.

Avant de le lancer, il va falloir installer la console de récupération Windows, non installée par défaut.
L'installation de cette console permettra de démarrer un mode spécial en cas de problèmes divers suite à la désinfection.

_ Si tu es sous Xp et que tu as un CD de Windows original:

Tu insères le CD d'installation dans le lecteur.

Tu cliques ensuite sur Démarrer puis Exécuter et tu copies-colles la ligne suivante:

Code: Tout sélectionner

d:i386winnt32.exe /cmdcons

La lettre d: indique l'emplacement par défaut du lecteur de CD. Si ce n'est pas le cas, tu modifies cette lettre en conséquence.

L'installation de la console de récupération Windows va commencer.

Tu cliques sur Ok.

_ Pour les ordinateurs OEM fournis, il est possible que le fichier winnt32.exe soit présent sur le disque dur dans un dossier nommé i386 dans le dossier Windows ou tout simplement à la racine de la partition principale.

Il faudra alors taper comme commande c:i386winnt32.exe /cmdcons ou c:Windowsi386winnt32.exe /cmdcons en mettant dans cette commande le chemin d'accès au fichier winnt32.exe.

Une fenêtre Installation de Windows s'ouvrira, tu cliques sur Oui.
Tu confirmes ensuite l'installation de la console de récupération.

Si une erreur de mise à jour survient, tu coches la ligne Ignorer cette étape et continuer l'installation de Windows puis tu cliques sur Suivant.

L'installation se fera ensuite jusqu'à ce qu'une fenêtre de confirmation indique que la console de récupération Windows est installée de manière effective.

_ Si tu es sous Xp et que tu n'as pas le CD de Windows original:

Tu vas sur http://support.microsoft.com/kb/310994 et tu descends jusqu'à la ligne Téléchargement du fichier programme des disquettes d'installation.

Tu sélectionnes le lien correspondant à ta version de Windows puis, dans la fenêtre de téléchargement, tu cliques sur Télécharger et tu enregistres le fichier sur le Bureau.
Si le Service Pack 3 est installé sur ta machine, tu sélectionnes le lien correspondant à ta version de Windows sous environnement Service Pack 2 (SP2) Windows XP.
Si tu utilises Windows Xp Media Center, tu sélectionnes le téléchargement Service Pack 2 Windows XP Professionnel.

Pour savoir quelle version de Windows & quel Service Pack est installé, il suffit de cliquer sur Démarrer puis Panneau de configuration.

Tu cliques ensuite sur Système et tu pourras lire dans la fenêtre Propriétés du système, dans le cadre Système, la version de Windows & le Service Pack installés.

Le fichier téléchargé sur le Bureau, tu exécutes un glisser/déposer comme ceci:



Le glisser/déposer va lancer ComboFix qui va installer la console de récupération Windows.

A la fin de l'installation, ComboFix signalera que la console de récupération est installée et demandera si tu veux effectuer une analyse.
Cliques sur Non/No car le paramétrage n'est pas encore achevé.

Avant de lancer ComboFix, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouverte.

Tu lances ensuite l'utilitaire en double cliquant dessus, tu confirmes l'ouverture en cliquant sur Exécuter.

A la fenêtre Disclaimer, tu tapes sur [1].

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes pas, il se charge de tout.
Laisse-le faire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Pendant son nettoyage, le Bureau peut disparaître à plusieurs reprises. Tout redeviendra normal par la suite.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner

Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up

ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.


2_ Tu relances Mbam en analyse complète et tu nous postes le rapport.