x

Virus ... Quelle galere !!

 
29/10/2007 17:45 #1
Bonjour a tous,

j'ai aujourdhui choppé un virus sur mon ordinateur (4 ans que je n'avais que de petits soucis vite reglé avec mon AVP, a-sqared et autre petit prog pôur se proteger).

j'ai cherché un peu sur le net et le virus s'attaque au .exe de tous les prog de defense (Kerio, spyboot, avp, avast etc), quand mon windows s'ouvre Kerio apr exemple ne peut s'ouvrir a cause d'une fenetre d'alerte : "KFE initialization failed : drivers not found"

Mon surf et l'utilisation de l'ordi est ralentit !! Passahe en mode sans echec impossible !!! J'ai testé plusieurs possibilité via les antivirus online mais rien n'y fait ce message reapparait a chaque fois que je veus relancer KErio (par ex)

J'ai tenter de chercher un fichier wintems.exe qui serait la cause mais je ne trouve RIEN .........

HELP HELP HELP !!!

Lenzo
LE
anonyme
Groupe :
Visiteur
Annonce
Publicité
anonyme
29/10/2007 18:33 #2
Mode sans echec impossible? Même pas possible en F8 au démarrage?

En dernier ressort ce que je fais dans ce cas, c'est que je démonte le DD du client pour le mettre sur une autre UC et lancer un scan.

Certains antivirus (norton par exemple) peuvent être lancé depuis le boot CD au démarrage.

Autrement faut que tu arrives à démarrer en mode sans echec.
Ensuite, tu ouvres le Poste de travail => Outils => Options des dossiers => Affichage et tu coches la case "Afficher les fichiers et dossiers cachés", décoches la case "Masquer les extensions des fichiers dont le type est connu" = appliquer => ok.

Ensuite tu vas dans le dossier WINDOWS\System32\ e tu supprimes le fichier wintems.exe.vir

Ensuite démarrer = executer => tu tapes msconfig et dans l'onglet démarrage, tu décoche la ligne qui correspond à cette merde.

Plus qu'à redémarrer en mode normal en mode normal ...

Note que cette manip tu peux la faire d'un autrer PC avec le truc de démonter ton DD.

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
14666
29/10/2007 18:37 #3
Pour info:
Troj/BagleDl-BW est un cheval de Troie téléchargeur pour la plate-forme Windows.


Le virus inclut des fonctionnalités pour accéder à Internet et communiquer avec un serveur distant via HTTP.


Lorsqu'il est exécuté, le cheval de Troie se copie dans <System>\wintems.exe.


L'entrée de registre suivante est créée pour exécuter wintems.exe au démarrage :


HKCU\Software\Microsoft\Windows\CurrentVersion\Run
german.exe
<System>\wintems.exe


Source Sophos.

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
14666
29/10/2007 18:42 #4
Bonsoir,
vous dites avoir fait une recherche sur le virus. De quel virus s'agit-il, vous avez certainement eu son nom si vous avez effectué une recherche....Votre antivirus l'a-t'il donné et si oui, quel est-il et quel chemin a-t'il emprunté?
Le bouclier "kério" est-il présent près de l'horloge et si oui, quel est son état ( barré ou en fonction? ). Si votre kério est désactivé, il y a toujours possibilité si vous êtes sur SP2 de réactiver provisoirement celui de Windows...
N'avez-vous des problèmes qu'avec kério, pas avec votre antivirus ou anti-spywares?
Merci de nous renseigner....
A+, jounino.

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
255
29/10/2007 19:20 #5
Hummmmmm, ça sent le rootkit en plus.....
De quel antivirus te sers-tu, s'il te plait, je n'ai pas vu sur ton hijackthis....
A+, jounino....

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
255
29/10/2007 19:21 #6
OK, j'ai vu, c'est Avast.....

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
255
29/10/2007 19:30 #7
Oui j'ai mis avast aujourd'hui juste apres le probleme (j'avais kaspersky) mais il ne sert a mis vu que le virus empeche le fonctionement des programmes avast kerio ou autres ... !!! lol je continue la je fait un scan avec A-SQUARED !!! Mais j'arrive pas a detecter trouver le wintems.exe il n'est aps dans system32 j'ai tout mis en visible..... j'y arriverai !!!

Mon rapport vous est utile ?
A bientot merci ;)

VI
anonyme
Groupe :
Visiteur
29/10/2007 20:26 #8
Bonsoir,
Quelques lignes à effacer;
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {49783ED4-258D-4f9f-BE11-137C18D3E543} - (no file)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

et une qui me parrait suspecte;

O4 - HKLM\..\Run: [ypcmmszum] c:\windows\system32\ypcmmszum.exe ypcmmszum

Impératif ;Attendre l'avis de Cthierry pour agir!

Le savoir, c'est comme la confiture, moins on en a, plus on l'étale....
jounino
Tsonaute
membre
Inscrit
18/05/2007 10:08
De
Une poussière sur la planète..
Groupe :
Tsonaute confirmé
Messages
255
29/10/2007 20:27 #9
Pour ton log:
http://www.hijackthis.de/logfiles/0de ... 6b64b77cf41ab0102204.html

Ensuite dans ce cas démarre en mode invite de commande. Dans la faq il est expliqué comment virer des merdes en mode invite de commande
Quand tu seras dans le dossier system32 tu tapes "dir wintems.*" pour le trouver et ensuite del "ton fichier"

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
14666
29/10/2007 22:41 #10
Merci bcp mais le soucis c'est que je ne trouve RIEN ... Donc je ne supprime rien ... :(

J'ai reussit a installer AVAST sur un autre disque et a les faire tourner !!! je pense quej 'ai du detruire une partie du truc mais le message de debut ""KFE initialization failed : drivers not found" est toujours la et empeche kerio de fonctionner sur le C:

VI
anonyme
Groupe :
Visiteur
 
Publicité
Vous avez trouvé cette réponse utile ? Partagez-la !