Virus et programmes

MrTux · 19/05/2007, 19h13

Voila depuis quelques jours mes programmes se ferment tout seul, quand ca leur chante....
Au début c'etait pas trop embettant mais maintenant... j'essaye d'ouvrir nimporte quoi, ca se ferme direct... Alors j'ai fait une analyse Kaspersky : rien, puis Spybot : rien. De meme en mode sans echec....
Finalement j'ai installé Hijackthis mais je narrive pas a lire le rapport et à trouver l'erreur... si vous pouviez maider et me dire si vous connaissez le virus (s'il s'agit de ca)

Merci

ggnore · 19/05/2007, 19h40

tu peux utiliser ce site :
http://www.hijackthis.de/fr
pour analyser ton fichier.

Tous les programmes dont le degré de dangerosité n'est pas connu sont potentiellement dangereux.

Jannus · 19/05/2007, 19h51

À manier avec des pincettes quand même les réultats.
Tout n'est pas répertorié loin de là.
C'est une très bonne base, mais qu'il faut quand même vérifier en cas de doute.

Commence par faire un tour dans ta BdR pour la nettoyer, y'a un tas de "crasses" dans tes clefs "Run"

MrTux · 19/05/2007, 20h16

Hummmm, tout les fichiers run me servent.... Mais j'ai lu a d'autres endroits qu'il pourrait s'agir du fichier svhost.exe... Un fake qui est enfait un virus => MyDoom
C'est possible?

Louis-Guillaume Morand · 19/05/2007, 20h56

c'est faux.
svhost est NECESSAIRE pour windows. il sert à lancer les services de type COM+. MAIS le virus peut s'ajouter pour se faire lancer par svhost. mais mydoom est un virus quand il en existe des centaines de millier. t'as pas mydoom

MrTux · 19/05/2007, 21h25

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\pchealth" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\Oobe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\Inetsrv" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_08] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_09] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_10] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_11] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_12] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_13] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

Il me trouve ca d'inconnu ( a par le ctfmon ) je peux supprimer ou pas?

, car j'en ai aucune idée

droggo · 19/05/2007, 21h57

Jao,

Citation:

Envoyé par Louis-Guillaume Morand

c'est faux.
svhost est NECESSAIRE pour windows. il sert à lancer les services de type COM+. MAIS le virus peut s'ajouter pour se faire lancer par svhost. mais mydoom est un virus quand il en existe des centaines de millier. t'as pas mydoom

C'est svchost qui est nécessaire et fait partie des processus système.

Il y a effectivement eu un virus (ou trojan, ou autre, je ne sais plus) qui créait un processus svhost.

MrTux · 19/05/2007, 22h08

Du coup, avec mon svhost je supprime de system32 ou pas? et pour mes logs hijackthis?

xD, pq la ca devient grave, j'ai 3 programmes d'ouvert et je peux pu rien faire d'autre...

19/05/2007, 19h40	#2
ggnore Modérateur Inscription : juillet 2004 Messages : 2 246 Détails du profil Informations personnelles : Âge : 33 Informations forums : Inscription : juillet 2004 Messages : 2 246 Points : 1 903 Points : 1 903	tu peux utiliser ce site : http://www.hijackthis.de/fr pour analyser ton fichier. Tous les programmes dont le degré de dangerosité n'est pas connu sont potentiellement dangereux. __________________ Toutes les vertus des hommes se perdent dans l’intérêt comme les fleuves se perdent dans la mer.
	00

19/05/2007, 20h56	#5
Louis-Guillaume Morand Rédacteur Louis-Guillaume MORAND Consultant @ Microsoft Inscription : mars 2003 Messages : 10 713 Détails du profil Informations personnelles : Nom : Louis-Guillaume MORAND Localisation : France, Hauts de Seine (Île de France) Informations professionnelles : Activité : Consultant @ Microsoft Secteur : Conseil Informations forums : Inscription : mars 2003 Messages : 10 713 Points : 15 946 Points : 15 946	c'est faux. svhost est NECESSAIRE pour windows. il sert à lancer les services de type COM+. MAIS le virus peut s'ajouter pour se faire lancer par svhost. mais mydoom est un virus quand il en existe des centaines de millier. t'as pas mydoom __________________ moi c'est Louis-Guillaume, ni Louis, ni Guillaume mais Louis-Guillaume et je n'aide pas ceux qui écorchent mon nom
	00

19/05/2007, 19h51	#3
Jannus Expert Confirmé Sénior Inscription : décembre 2004 Messages : 19 671 Détails du profil Informations forums : Inscription : décembre 2004 Messages : 19 671 Points : 17 664 Points : 17 664	À manier avec des pincettes quand même les réultats. Tout n'est pas répertorié loin de là. C'est une très bonne base, mais qu'il faut quand même vérifier en cas de doute. Commence par faire un tour dans ta BdR pour la nettoyer, y'a un tas de "crasses" dans tes clefs "Run"
	00

19/05/2007, 20h16	#4
MrTux Invité de passage Inscription : mai 2007 Messages : 4 Détails du profil Informations forums : Inscription : mai 2007 Messages : 4 Points : 0 Points : 0	Hummmm, tout les fichiers run me servent.... Mais j'ai lu a d'autres endroits qu'il pourrait s'agir du fichier svhost.exe... Un fake qui est enfait un virus => MyDoom C'est possible?
	00

19/05/2007, 21h25	#6
MrTux Invité de passage Inscription : mai 2007 Messages : 4 Détails du profil Informations forums : Inscription : mai 2007 Messages : 4 Points : 0 Points : 0	O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\pchealth" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\Oobe" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\Inetsrv" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_08] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_09] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_10] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_11] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_12] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_13] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') Il me trouve ca d'inconnu ( a par le ctfmon ) je peux supprimer ou pas? , car j'en ai aucune idée
	00

19/05/2007, 22h08	#8
MrTux Invité de passage Inscription : mai 2007 Messages : 4 Détails du profil Informations forums : Inscription : mai 2007 Messages : 4 Points : 0 Points : 0	Du coup, avec mon svhost je supprime de system32 ou pas? et pour mes logs hijackthis? xD, pq la ca devient grave, j'ai 3 programmes d'ouvert et je peux pu rien faire d'autre...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email