virus ?

[fgconan]

je crois que j'ai 11 virus et un troyen dans mon ordi, c'est ce qu'un dernier scan m'a révélé mais depuis je n'arrive plus à me connecter très longtemps car tout s'arrête. le 1er troyen qu'avast m'avait trouver sans pouvoir faire quoi que ce soit était le trojano 1124, maintenant lorsque j'essaye de me connecter une page non souhaitée apparait ,qui se nomme "everythingyouneed" est ce un virus ? comment me débarrasser de tous ces "cochonneries" ? merci à vous

[igor51]

bonjour
si tu es infecté par des virus, regarde ce topic et applique la procédure préconisée par yoda
http://forums.futura-sciences.com/th...6530-1-18.html
et tiens nous au courant de l'évolution.

[fgconan]

tous les pros que vous êtes vous parlez tous de télécharger ici ou là MAIS lorsque l'ordi est tellement malade (virus vers troyens .. ou ??) et qu' il ne se laisse pas télécharger et qu'au bout de quelques minutes il se deconnecte et se bloque comment faire ?
PS j'ai tout sauvegardé sur CD il y a t-il un moyen de le rajeunir comme il était lors de notre première rencontre ????

[mach3]

je ne sais pas si c'est bien expliqué dans la méthode qu'on t'as signalée, mais au pire, installe hijackthis (très leger a telecharger, je pense que tu devrait y arriver) et envoie-nous son log, au vu de celui-ci on pourra t'aider a assainir ton pc à la main (au moins suffisament pour que tu puisses ensuite installer les autres utilitaires et faire le nettoyage de fond en comble).

m@ch3

[Faith]

tous les pros que vous êtes vous parlez tous de télécharger ici ou là MAIS lorsque l'ordi est tellement malade (virus vers troyens .. ou ??) et qu' il ne se laisse pas télécharger et qu'au bout de quelques minutes il se deconnecte et se bloque comment faire ?

La solution, c'est de télécharger ce dont tu as besoin à partir de l'ordi d'un ami, le mettre sur clé USB ou (mieux) sur CD, puis de l'utiliser chez toi.

PS j'ai tout sauvegardé sur CD il y a t-il un moyen de le rajeunir comme il était lors de notre première rencontre ????

Si tu as déjà tout sauvegardé, alors formatter ton PC est sans doute la meilleure solution !
Un conseil: quand tu réinstalles tout, fais le en ayant débranché physiquement ta connexion internet, installe un firewall, un antivirus.
Ensuite, tu branches la connexion internet et la seule chose que tu fais, c'est mettre à jour Windows et ton antivirus.
Puis tu redéconnectes ton PC d'internet, tu copies tes fichiers sauvegardés et tu lances un scan d'antivirus (au cas où tu aurais sauvegardé un fichier vérolé...

Bon courage

[mach3]

sinon au pire, si tu as tout sauvegardé, tu peux formatter ton système, mais on peut éviter d'en arriver là (cela necessite qq connaissances tout même et aussi d'avoir à disposition tous les installeurs des logiciels nécessaire au fonctionnement de ton pc).

m@ch3

[fgconan]

je possède tous les logiciels originaux ce n'est pas un problème, mais je voudrais savoir si en reformatant mon ordi les virus et troyen seront-ils encore présents ? si c'est non alors pouvez vous me dire comment reformater le tout. je tenterai quand même de faire un hijackthis avant le formatage le tout. merci à demain .

[JPL]

mais je voudrais savoir si en reformatant mon ordi les virus et troyen seront-ils encore présents ?

Bien sûr que non, il seront tous effacés. Mais il faut dire et redire : formater n'est nécessaire que dans de très rares cas. Et de toutes façons, si tu formates et réinstalles tout... cela ne servira à rien si tu ne change pas de comportement informatique (celui qui t'a amené à cette situation).
Donc il te faut un antivirus à jour, un pare-feu efficace (pas celui de Windows), les programmes anti-espions et adwares qui t'ont été signalés ; il faut arrêter de cliquer sans réfléchir sur les pièces jointes des mails reçus, arrêter d'aller sur des sites à risque, d'installer des programmes gratuits sans s'être renseigné sur leur honnêteté ; utilise un autre navigateur qu'Internet Explorer (sauf pour quleques rares sites mal fichus qui ne s'affichent correctement qu'avec IE). Il faut aussi installer toutes les mises à jour proposées par Microsoft (Windows Update).

[ananda]

je crois que j'ai 11 virus et un troyen dans mon ordi, c'est ce qu'un dernier scan m'a révélé mais depuis je n'arrive plus à me connecter très longtemps car tout s'arrête. le 1er troyen qu'avast m'avait trouver sans pouvoir faire quoi que ce soit était le trojano 1124, maintenant lorsque j'essaye de me connecter une page non souhaitée apparait ,qui se nomme "everythingyouneed" est ce un virus ? comment me débarrasser de tous ces "cochonneries" ? merci à vous

A priori tu dois avoir au moins un malware/spyware : quelques fichiers ont sûrement été installés sur ton ordi : exe, dll, etc. et qui pilotent ton explorer. Fais cette petite expérience : liste tous les executables actifs sur ton ordi et vérifie leurs provenance : tu copies-colle leurs noms dans google pour vérifier s'il sagit d'un programme système "classique" ou bien d'un spyware. Dans tous les cas, munis toi du logiciel Hijackthis et lance-le pour voir s'il y a des spywares indésirables installés dans ton ordi : dans ce cas, je pourrai te guider pour les flinguer.

A+

[fgconan]

Logfile of HijackThis v1.99.1
Scan saved at 17:57:42, on 12/10/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Voici donc le hijacthis, amusez vous ! et surtout merci !


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
C:\WINDOWS\System32\Perfhmon.e xe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\USBhardwar e9.exe
C:\WINDOWS\System32\systems.ex e
C:\WINDOWS\System32\csrs.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
A:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
O1 - Hosts: 203.142.1.132 www.halifax-online.co.uk
O1 - Hosts: 203.142.1.132 ibank.barclays.co.uk
O1 - Hosts: 203.142.1.132 online.lloydstsb.co.uk
O1 - Hosts: 203.142.1.132 online-business.lloydstsb.co.uk
O1 - Hosts: 203.142.1.132 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 203.142.1.132 www.nwolb.com
O1 - Hosts: 203.142.1.132 banesnet.banesto.es
O1 - Hosts: 203.142.1.132 extranet.banesto.es
O1 - Hosts: 203.142.1.132 ebanking.bccbrescia.it
O1 - Hosts: 203.142.1.132 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 203.142.1.132 www.rbsdigital.com
O1 - Hosts: 203.142.1.132 oi.cajamadrid.es
O1 - Hosts: 203.142.1.132 bancae.caixapenedes.com
O1 - Hosts: 203.142.1.132 banking.postbank.de
O1 - Hosts: 203.142.1.132 meine.deutsche-bank.de
O1 - Hosts: 203.142.1.132 myonlineaccounts2.abbeynationa l.co.uk
O1 - Hosts: 203.142.1.132 ibank.cahoot.com
O1 - Hosts: 203.142.1.132 webbank.openplan.co.uk
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WksSVC] EXPLORER.exe
O4 - HKLM\..\Run: [USB Hardware9 Monitoring] USBhardware9.exe
O4 - HKLM\..\Run: [System Driver] systems.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.ex e
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\RunServices: [WksSVC] EXPLORER.exe
O4 - HKLM\..\RunServices: [USB Hardware9 Monitoring] USBhardware9.exe
O4 - HKLM\..\RunServices: [System Driver] systems.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WksSVC] EXPLORER.exe
O4 - HKCU\..\Run: [USB Hardware9 Monitoring] USBhardware9.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O23 - Service: Performance Logs (Perfhmon) - Unknown owner - C:\WINDOWS\System32\Perfhmon.e xe

[yoda1234]

Bonjour
Tu as été infecté par un ver qui s'appelle AGOBOT.VZ.Quelques infos sur ce "machin".
En plus ton fichier host a été corrompu.Il y a bien quelques lignes suspectes que j'ai repèré mais je ne suis pas assez rompu a ce genre d'analyse pour pouvoir t'aider aussi précisement que je le souhaiterais.Autre chose,ton système n'est pas a jour.

[ananda]

Tout d'abord : arrête de surfer "n'importe où" et mets ton système à jour, parceque tu es infecté comme un rat !

On va essayer de faire cette procédure pour te débarasser de ta vermine informatique (je ne garantis pas le résultat)

---
Imprime ton log initial, ou garde une copie. Télecharge et installe la dernière version de Spybot ou Ad-Aware.
--
Désactive ta restauration système (uniquement si tu es sous XP): Clic droit sur poste de travail puis, propriété, tu cliques sur onglet restauration système tu coches la case « désactiver la restauration » et applique.
---
Démarre ton ordi en mode sans échec (Touche F8 à l'allumage du PC)
---
Affiche tous les fichiers et dossiers : Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage
Coche « afficher les fichiers et dossiers cachés » ; Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" ; Décoche « masquer les extensions dont le type est connu » ; Puis fais «Ok» pour valider les changements. Et appliquer.
---
Vide tes fichiers temps et tempory internet file: Supprimer les fichiers temporaires (vider tout le contenu de ces dossiers) :
C:\Documents and Settings\ton compte\Local Settings\Temp
C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
C:\Windows\Temp

Efface tes cookies ; Vide le contenu du dossier prefetch (sauf le fichier layout.ini) : C:\WINDOWS\Prefetch

Vide la corbeille
---
Relance HijackThis, coche les cases correspondantes aux lignes :

C:\WINDOWS\System32\Perfhmon.e
C:\WINDOWS\System32\USBhardwar e9.exe
C:\WINDOWS\System32\systems.ex e
C:\WINDOWS\System32\csrs.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Messenger\msmsgs.exe

Coche aussi à partir de : O1 - Hosts: 203.142.1.132 www.halifax-online.co.uk jusqu'à O1 - Hosts: 203.142.1.132 webbank.openplan.co.uk

Ensuite, tu continues à cocher :
O4 - HKLM\..\Run: [WksSVC] EXPLORER.exe
O4 - HKLM\..\Run: [USB Hardware9 Monitoring] USBhardware9.exe
O4 - HKLM\..\Run: [System Driver] systems.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.ex e
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\RunServices: [WksSVC] EXPLORER.exe
O4 - HKLM\..\RunServices: [USB Hardware9 Monitoring] USBhardware9.exe
O4 - HKLM\..\RunServices: [System Driver] systems.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WksSVC] EXPLORER.exe
O4 - HKCU\..\Run: [USB Hardware9 Monitoring] USBhardware9.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O23 - Service: Performance Logs (Perfhmon) - Unknown owner - C:\WINDOWS\System32\Perfhmon.e xe


Enfin tu cliques sur fix checked pour lancer le prog
Ferme Hijackthis
---
Ensuite tu t'amuses à aller manuellement dans les répertoires des exécutables précédemment cités pour faire le ménage "à la main" : tu élimines les exe indésirables résiduels, voire les dossiers complets associés à ces exe (uniquement bien sûr si la totalité du contenu du dossier est à jeter : c'est toi le responsable)
---
Lance ensuite Spybot et/ou Ad-aware : élimine tout ce qu'il trouve. Vide les quarantaines
---
Revide ta corbeille
---
Redémarre ton ordi en mode normal, et constate les effets. Relance Hijackthis pour voir ton nouveau rapport.


A+

[Cyrrus]

Bien sûr que non, il seront tous effacés.

LOL. Certains malwares resiste au formatage...Parcours les forums de discussion dédiés à l'entraide informatique et tu en trouvera....plein...

Secundo je rejoins Ananda au sujet de la mise à jour windows....qui n'a pas été fait depuis quelques années à priori...
Hijackthis a beau desinfecter, encore faut il boucher les trous d'entrée des malwares..
Bonne journée
Cyrrus

[JPL]

LOL. Certains malwares resiste au formatage...Parcours les forums de discussion dédiés à l'entraide informatique et tu en trouvera....plein...

Oui, des vrais virus, pas des vers ou chevaux de Troie ou... Mais des vrais virus, cela fait longtemps que je n'en ai pas vu. Il ne doit plus en circuler beaucoup.

[Cyrrus]

Re JPL,

Oui, des vrais virus, pas des vers ou chevaux de Troie ou... Mais des vrais virus, cela fait longtemps que je n'en ai pas vu. Il ne doit plus en circuler beaucoup.

Pas bien d'accord non plus. Le fait que l'on soit infecté par un virus ou un malware ne change pas grand chose. Preuve qu'un malware peut survivre à un formatage ( et même à 2 formatage ), ce post tiré du forum zebulon securité :
http://forum.zebulon.fr/index.php?showtopic=76928

En analysant sommairement le rapport hijackthis, on trouve un pokapoka75.exe et 2 processus de nom aléatoire, cause del'infection...et de la résistance. Les deux procesus aléatoires ne sont pas identifiables, par contre, pokapoka75 est assez courant en ce moment, et s'apparente au trojan Poka.Process !

Par conséquent aucun virus à l'horizon, mais bien un trojan qui a semé des petits, et qui a sue résisté à un double formatage.
Si ce trojan le fait, d'autre le feront, la méthode se répandant.
Par conséquent, formaté aujourd'hui ne sert quasiment à rien, ou du moins ne sert que pour un malware de vieille génération, pour tous le reste, ce n'est qu'un aveux d'impuissance, et le seul moyen efficace et de combattre l'infection, en se faisant aidé sur les nombreux forum de discussion voué à cette lutte.
Bonne fin de journée
Cyrrus

PS : Dans l'exemple cité le formatage crée un autre problème : les analystes qui se sont chargés de l'aider auparavant n'ont plus qu'a recommencer, ce qui croit moi est assez désagréable