[virus recalcitrants]

Résolu

jipet Messages postés 54 Date d'inscription Statut Membre Dernière intervention -
balltrap34 Messages postés 16240 Date d'inscription Statut Contributeur sécurité Dernière intervention - 10 févr. 2005 à 23:50

bonjour

je suis infesté de trojans, virus, spywares etc etc.....

j'ai réussi a grace a spy sweeper a en suPprimer pas mal

mais mon probleme c'est celui ci une fenetre s'ouvre

avec un fichier nommée ISTSVC.

Impossible de le supprimer

dans l'explorateur je l'ai trouvé mais un message me dit qu'il

est soi: utilisé en ce moment par un programme

soi: utilisé par une personne ?

Est ce que ça vous dit quelque choses et pouvais vous m'aider a le supprimer.

merci A+

ps: windows XP PRO

A voir également:

[virus recalcitrants]
Virus mcafee - Accueil - Piratage
Virus facebook demande d'amis - Accueil - Facebook
Forum Virus
Undisclosed-recipients virus - Guide
Youtu.be virus - Accueil - Guide virus

4 réponses

Réponse 1 / 4

moe

salut

regarde dans ajout/suppression de programme si il y a moyen de désinstaller.
ensuite dans C:\program files tu supprime le dossier ISTSVC.

Si les problèmes persistes télécharge hijackthis ici:
http://telechargement.zebulon.fr/138-HijackThis-1.99.html
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php
Clic sur "do a system scan and save logfile" et fait un copier/coller du log sur le forum.

a+

jipet Messages postés 54 Date d'inscription Statut Membre Dernière intervention 6

bonsoir

j'ai fait rechercher dans XP ça ne ressemble pas a un fichier

mais plutot un executable ?

Voici le log si tu vois des erreurs e moi A+

Logfile of HijackThis v1.99.0
Scan saved at 21:28:25, on 07/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trust\302KS\Mouse\mouse32a.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Trust\302KS\Keyboard\KbdAp32A.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ntsf.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Avant Browser\avant.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\jipet\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Program Files\Trust\302KS\Mouse\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Program Files\Trust\302KS\Keyboard\MMKEYBD.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Bloquer ce serveur... - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Rechercher sur le Web... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Surligner - C:\Program Files\Avant Browser\Highlight.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06f7585fa1a0d603f106/netzip/RdxIE601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: Service d'istration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dm.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Réponse 2 / 4

moe

Salut

Démarre en mode sans echec:
redemarrer l'ordinateur et appuyer plusieurs fois sur F8

Termine les processus douteux:
Ouvrir le gestionnaire des taches: CTRL+ALT+SUPPR
Clic-droit sur le processus et choisir terminer le processus.
Termine:

ntsf.exe

Fixe avec hijackthis:
cocher au début de chaques lignes valider avec fix checked
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Avant de supprimer les fichiers douteux:

- Afficher les dossiers cachés et fichiers système:
panneau de configuration > options des dossiers > onglet affichage

cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"

clic sur demarrer>rechercher dans les options avancées, vérifier que:
rechercher dans les dossiers systeme,
dans les fichiers et dossiers cachés,
dans les sous-dossiers
soient cochés.

Supprimer:

C:\WINDOWS\System32\ntsf.exe

Redemarrer et refaire un scan hijack pour vérifier si tout et ok
recocher " masquer les fichiers protégés du système" dans les options des dossiers

Aucunes trace de ton fichier ISTSVC, mais profite d'etre en mode sans echec pour le virer.

a+

jipet Messages postés 54 Date d'inscription Statut Membre Dernière intervention 6

bonsoir

merci tout est redevenu normal

une petite question a quoi correpond ntsf.exe

merci encore A+

Réponse 3 / 4

balltrap34 Messages postés 16240 Date d'inscription Statut Contributeur sécurité Dernière intervention 332

salut
cela tu peut cocher inutile au demarrage
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
-----
attention pour un nettoyage complet surtout pour celui la
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
fait un hijack sur chaque session utilisateur et vire

jipet Messages postés 54 Date d'inscription Statut Membre Dernière intervention 6

bonsoir

a quoi correspond [kernelfaultcheck] dans ton message du 8-02

je le coche inutile au demarrage ou je peut le virer

merci

A+

balltrap34 Messages postés 16240 Date d'inscription Statut Contributeur sécurité Dernière intervention 332 > jipet Messages postés 54 Date d'inscription Statut Membre Dernière intervention

tu le vire pas
tu l enleve du demarrage
pour le reste recherche google tu trouverat

Réponse 4 / 4

moe

salut

Trojan rbot ub

regarde ici(en anglais):
http://www.sophos.com/virusinfo/analyses/w32rbotub.html
Il exploite des failles deja corrigés chez crosoft

A propos, tu devrais faire un p'tit tour sur windowsupdate:

Logfile of HijackThis v1.99.0
Scan saved at 21:28:25, on 07/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

T'as au moins 3 ans de mises a jours de retard !!

a+

jipet Messages postés 54 Date d'inscription Statut Membre Dernière intervention 6

re

merci pour la precision

quand a windows update je fais les mises a jour regulierement

je viens d'y aller, a part une mise a jour direct 9x rien d'autre

A+

Discussions similaires

Softonic,est-ce un virus ?

Est ce que le site tlauncher est dangereux ?

4 virus en raison d’un porno ????

message de postmaster incessant !

Désinstaller Softonic

Votre réponse

Discussions similaires