x

Virus ... Quelle galere !!

 
29/10/2007 17:45 #1
Bonjour a tous,

j'ai aujourdhui choppé un virus sur mon ordinateur (4 ans que je n'avais que de petits soucis vite reglé avec mon AVP, a-sqared et autre petit prog pôur se proteger).

j'ai cherché un peu sur le net et le virus s'attaque au .exe de tous les prog de defense (Kerio, spyboot, avp, avast etc), quand mon windows s'ouvre Kerio apr exemple ne peut s'ouvrir a cause d'une fenetre d'alerte : "KFE initialization failed : drivers not found"

Mon surf et l'utilisation de l'ordi est ralentit !! Passahe en mode sans echec impossible !!! J'ai testé plusieurs possibilité via les antivirus online mais rien n'y fait ce message reapparait a chaque fois que je veus relancer KErio (par ex)

J'ai tenter de chercher un fichier wintems.exe qui serait la cause mais je ne trouve RIEN .........

HELP HELP HELP !!!

Lenzo
LE
anonyme
Groupe :
Visiteur
Annonces
Publicité
anonyme
29/10/2007 18:33 #2
Mode sans echec impossible? Même pas possible en F8 au démarrage?

En dernier ressort ce que je fais dans ce cas, c'est que je démonte le DD du client pour le mettre sur une autre UC et lancer un scan.

Certains antivirus (norton par exemple) peuvent être lancé depuis le boot CD au démarrage.

Autrement faut que tu arrives à démarrer en mode sans echec.
Ensuite, tu ouvres le Poste de travail => Outils => Options des dossiers => Affichage et tu coches la case "Afficher les fichiers et dossiers cachés", décoches la case "Masquer les extensions des fichiers dont le type est connu" = appliquer => ok.

Ensuite tu vas dans le dossier WINDOWS\System32\ e tu supprimes le fichier wintems.exe.vir

Ensuite démarrer = executer => tu tapes msconfig et dans l'onglet démarrage, tu décoche la ligne qui correspond à cette merde.

Plus qu'à redémarrer en mode normal en mode normal ...

Note que cette manip tu peux la faire d'un autrer PC avec le truc de démonter ton DD.

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
16252
29/10/2007 18:37 #3
Pour info:
Troj/BagleDl-BW est un cheval de Troie téléchargeur pour la plate-forme Windows.


Le virus inclut des fonctionnalités pour accéder à Internet et communiquer avec un serveur distant via HTTP.


Lorsqu'il est exécuté, le cheval de Troie se copie dans <System>\wintems.exe.


L'entrée de registre suivante est créée pour exécuter wintems.exe au démarrage :


HKCU\Software\Microsoft\Windows\CurrentVersion\Run
german.exe
<System>\wintems.exe


Source Sophos.

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
16252
29/10/2007 18:42 #4
Bonsoir,
vous dites avoir fait une recherche sur le virus. De quel virus s'agit-il, vous avez certainement eu son nom si vous avez effectué une recherche....Votre antivirus l'a-t'il donné et si oui, quel est-il et quel chemin a-t'il emprunté?
Le bouclier "kério" est-il présent près de l'horloge et si oui, quel est son état ( barré ou en fonction? ). Si votre kério est désactivé, il y a toujours possibilité si vous êtes sur SP2 de réactiver provisoirement celui de Windows...
N'avez-vous des problèmes qu'avec kério, pas avec votre antivirus ou anti-spywares?
Merci de nous renseigner....
A+, jounino.

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
254
29/10/2007 19:20 #5
Hummmmmm, ça sent le rootkit en plus.....
De quel antivirus te sers-tu, s'il te plait, je n'ai pas vu sur ton hijackthis....
A+, jounino....

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
254
Annonce
Lego Icons Les Fleurs de Prunier - Décoration Florale - Plante sans Entretien à Offrir - Set de Construction de la Collection Botanique pour Adultes - Activité relaxante pour Hommes et Femmes 10369
24.90 €  29.99 €
Lego Icons Les Fleurs de Prunier - Décoration Florale - Plante sans Entretien à Offrir - Set de Construction de la Collection Botanique pour Adultes - Activité relaxante pour Hommes et Femmes 10369
Générique Ugly Pull Noel Rigolo Femme Hiver, Drole Pull de Noel Femmes,Pull Noel Moche,Pull Noel Famille Assortis,Pull Noel Famille,Noel Sweat Polaire Hiver Chaud Sweatshirt Femme
10.99 €
Générique Ugly Pull Noel Rigolo Femme Hiver, Drole Pull de Noel Femmes,Pull Noel Moche,Pull Noel Famille Assortis,Pull Noel Famille,Noel Sweat Polaire Hiver Chaud Sweatshirt Femme
Publicité
anonyme
29/10/2007 19:21 #6
OK, j'ai vu, c'est Avast.....

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
254
29/10/2007 19:30 #7
Oui j'ai mis avast aujourd'hui juste apres le probleme (j'avais kaspersky) mais il ne sert a mis vu que le virus empeche le fonctionement des programmes avast kerio ou autres ... !!! lol je continue la je fait un scan avec A-SQUARED !!! Mais j'arrive pas a detecter trouver le wintems.exe il n'est aps dans system32 j'ai tout mis en visible..... j'y arriverai !!!

Mon rapport vous est utile ?
A bientot merci ;)

Visiteur
VI
anonyme
Groupe :
Visiteur
29/10/2007 20:26 #8
Bonsoir,
Quelques lignes à effacer;
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {49783ED4-258D-4f9f-BE11-137C18D3E543} - (no file)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

et une qui me parrait suspecte;

O4 - HKLM\..\Run: [ypcmmszum] c:\windows\system32\ypcmmszum.exe ypcmmszum

Impératif ;Attendre l'avis de Cthierry pour agir!

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
254
Annonces
Publicité
anonyme
29/10/2007 20:27 #9
Pour ton log:
http://www.hijackthis.de/logfiles/0de ... 6b64b77cf41ab0102204.html

Ensuite dans ce cas démarre en mode invite de commande. Dans la faq il est expliqué comment virer des merdes en mode invite de commande
Quand tu seras dans le dossier system32 tu tapes "dir wintems.*" pour le trouver et ensuite del "ton fichier"

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
16252
29/10/2007 22:41 #10
Merci bcp mais le soucis c'est que je ne trouve RIEN ... Donc je ne supprime rien ... :(

J'ai reussit a installer AVAST sur un autre disque et a les faire tourner !!! je pense quej 'ai du detruire une partie du truc mais le message de debut ""KFE initialization failed : drivers not found" est toujours la et empeche kerio de fonctionner sur le C:

Visiteur
VI
anonyme
Groupe :
Visiteur
Vous souhaitez contribuer à ce sujet ?
Vous avez une réponse à apporter, vous avez une solution ?
Venez répondre !
C'est gratuit et aucun compte à créer pour répondre dans le forum.
Vous souhaitez poser une question ?
Vous avez une autre question, pour un nouveau sujet ?
Venez demander !
C'est gratuit et aucun compte à créer pour poser votre question dans le forum.
 
Vous avez trouvé cette réponse utile ? Partagez-la !