Voir le sujet précédent :: Voir le sujet suivant |
Auteur |
Message |
vin-moi Administrateur
Inscrit le: 28 Aoû 2004 Messages: 6897 Localisation: France
|
Posté le: 01 Nov 2005 à 23:37 Sujet du message: |
|
|
Alors dejà, pour te débarrasser de nvsc32.exe dont son petit nom est nvsc32.exe :
Commence tout d'abord par te rendre sur www.windowsupdate.com et par mettre ton système à jour (et redemarre) et active le firewall de XP ou installe un firewall si ce n'est pas fait.
fait ctrl + alt + suppr et va dans les processus. Si il y est, fait "terminer le processus".
va ensuite dans la base de registre, démarrer > executer et tape "regedit.exe" .
maintenant, fait fichier > exporter et enregistre ou tu veux le fichier de sauvegarde (simple précaution).
Supprime maintenant les entrées suivantes dans le registre (crées par le virus)(si elles sont présentes) :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NvCplScan = "nvsc32.exe"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NvCplScan = "nvsc32.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\NvCplScan = "nvsc32.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\NvCplScan = "nvsc32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\NvCplScan = "nvsc32.exe"
Enfin, fait une recherche sur ton disque dur de nvsc32.exe et supprime le , il devrait etre dans C:\Windows ou C:\windows\System32 .
Plus d'information : va voir ici
[+] Pour la barre de recherche sur Internet Explorer, va voir dans démarrer > panneau de configuration > ajout/suppression de programme et regarde si tu ne peux pas la désinstaller ! _________________ |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 02 Nov 2005 à 1:13 Sujet du message: |
|
|
Fais un scan ici avec internet explorer http://webscanner.kaspersky.fr/
(il devrait soit l'eradiquer soit nous en dire plus car aucun processus dans ton log ne fait état a ce fichier ce qui devrait etre le cas en suivant le descriptif de virustraq ce qui implique qu'un processus ou autre service le lance et avant de supprimer le fichier il est toujours bon d'en connaitre et de supprimer la source car rien ne dit que le processus en question ne soit pas en mesure de remettre ce fichier apres suppression. |
|
Revenir en haut de page |
|
|
Migueline
Inscrit le: 01 Nov 2005 Messages: 24
|
Posté le: 02 Nov 2005 à 14:40 Sujet du message: |
|
|
Alors, j'ai fait ce que Vin moi et Laurent m'ont dit :
Pour vin moi d'abord windows update, je le fais systématiquement, mais par acquis de conscience, je l'ai refait.
Ensuite aller dans le processus, là j'ai pas su. Qd je fais CTRL Alt + supr, on ne me propose que "fin de tache" "basculer" ou "nouvelle tache".
J'ai ensuite fait le regedit.exe, mais je n'ai pas trouvé les lignes current version.
J'avais juqu'à HKLM SOFTWARE MICROSORFT WINDOWS mais pas après...
Ensuite j'ai fait une recherche par explorer, mais je n'ai pas trouvé non plus, enfin, j'ai fait une recherche par démarer, rechercher puis nvsc32.exe, mais la recherche ne donne rien...
Pour Laurent : j'ai fait le scan par kaspersky, qui me trouve :
C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From info[at]postf**-1.free.fr][Date Mon, 22 Nov 2004 00:24:06 GMT]/UNNAMED/postfix3-1.6528.com Infecté: Email-Worm.Win32.Sober.i ignoré
C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From info[at]postfi**-1.free.fr][Date Mon, 22 Nov 2004 00:24:06 GMT]/UNNAMED Infecté: Email-Worm.Win32.Sober.i ignoré
C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From hostmaster[at]inve***ntrepreneurs.org][Date Mon, 22 Nov 2004 02:52:12 UTC]/UNNAMED/investinentrepreneurs.6599.bat Infecté: Email-Worm.Win32.Sober.i ignoré
C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From hostmaster[at]investi***entrepreneurs.org][Date Mon, 22 Nov 2004 02:52:12 UTC]/UNNAMED Infecté: Email-Worm.Win32.Sober.i ignoré
C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From user_in**o[at]mmm.com][Date Mon, 22 Nov 2004 04:14:28 UTC]/UNNAMED/mmm.9927.com Infecté: Email-Worm.Win32.Sober.i ignoré
C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From user_**o[at]mmm.com][Date Mon, 22 Nov 2004 04:14:28 UTC]/UNNAMED Infecté: Email-Worm.Win32.Sober.i ignoré
C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From hos***aster[at]mmm.com][Date Mon, 22 Nov 2004 07:26:30 GMT]/UNNAMED/mmm_5364.DOC.bat Infecté: Email-Worm.Win32.Sober.i ignoré
C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From hostmas**r[at]mmm.com][Date Mon, 22 Nov 2004 07:26:30 GMT]/UNNAMED Infecté: Email-Worm.Win32.Sober.i ignoré
C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx Mail MS Outlook 5: infecté - 8 ignoré
C:\System Volume Information\_restore{693DD437-849D-48DB-8A53-4535A74148A2}\RP372\A0076458.exe Infecté: Backdoor.Win32.Ruledor.j ignoré
C:\System Volume Information\_restore{693DD437-849D-48DB-8A53-4535A74148A2}\RP376\A0076894.exe Infecté: Trojan-Downloader.Win32.Swizzor.bo ignoré
C:\System Volume Information\_restore{693DD437-849D-48DB-8A53-4535A74148A2}\RP380\A0077146.exe Infecté: Trojan-Downloader.Win32.Swizzor.dv ignoré
C:\System Volume Information\_restore{693DD437-849D-48DB-8A53-4535A74148A2}\RP380\A0077147.exe Infecté: Trojan-Downloader.Win32.Swizzor.cb ignoré
mais qui ne me propose pas de l'effacer !...
Enfin pour la barre de recherche sur IE, c'est évidement la première chose que j'ai faite de chercher ds ajout suppression des progrm... mais ce serait trop simple, elle n'y est pas !
Mon pb n'est tout de même pas insoluble ?... |
|
Revenir en haut de page |
|
|
vin-moi Administrateur
Inscrit le: 28 Aoû 2004 Messages: 6897 Localisation: France
|
Posté le: 02 Nov 2005 à 15:12 Sujet du message: |
|
|
Bon, peut etre que l'antivirus en ligne ne permet que la detection des virus et pas la suppression.
Alors, il y a des virus qui se cache dans le la restauration système. Pour la vider et les virus avec : démarrer > panneau de configuration > système > restauration sytème et tu désactive pour tous les lecteurs puis tu appliques. Après , ca devrait charger un moment le temps de vider les points de restauration.
Pour ceux qui sont dans les éléments supprimé de outlook: va dans outlook et regarde si tu ne peux pas vider les élément supprimés. Sinon , va dans le poste de travail > outil > option des dossiers > affichage et coche "afficher les fichiers et dossier cachés".
et vide le repertoire : C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/
Vide aussi les répertoires suivant :
C:\Documents and Settings\Cabinet\Local Settings\Temp
C:\Documents and Settings\Cabinet\Local Settings\Temporary Internet Files
C:\Documents and Settings\Cabinet\Cookies
C:\WINDOWS\Temp
puis vide la corbeille.
Fait ces opérations en mode sans echec (F8 au démarrage).
Redémarre ton ordi sans te conecter à internet et refait un scan avec Avast! , si c'est pas concluant, connecte toi et refait un scan en ligne.
Ensuite réactive la restauration système en fesant l'opération inverse
[edit] et supprime bien dans hijackthis ces entrées données par Laurent :
pour ca, fait un scan simple, coche les cases concernées et clique sur "fix checked" _________________ |
|
Revenir en haut de page |
|
|
Migueline
Inscrit le: 01 Nov 2005 Messages: 24
|
Posté le: 02 Nov 2005 à 18:41 Sujet du message: |
|
|
Ok Vin-moi, j'ai tout fait...mais je n'arrive pas à supprimer le nvsc32. Il revient à chaque fois que je rouvre le hijack this.
voici le dernier log :
Log hijackthis supprimé
C'est à désespérer ?... |
|
Revenir en haut de page |
|
|
vin-moi Administrateur
Inscrit le: 28 Aoû 2004 Messages: 6897 Localisation: France
|
Posté le: 02 Nov 2005 à 18:53 Sujet du message: |
|
|
Bin pourtant il n'y est pas dans ton LOG , il n'est pas sur ton disque dur et ni dans le registre _________________ |
|
Revenir en haut de page |
|
|
rockboy
Inscrit le: 03 Aoû 2005 Messages: 500 Localisation: [CH]
|
Posté le: 02 Nov 2005 à 19:15 Sujet du message: |
|
|
T'es sûr d'avoir un trojan ?
Il est peut-être sur un réseau de ta maison (si tu en as un) et il vient te voir de temps en temps... _________________ |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 02 Nov 2005 à 20:16 Sujet du message: |
|
|
petite précision il ne faut pas confondre ce fichier avec celui ci C:\WINDOWS\System32\nvsvc32.exe qui est totalement légitime (driver Nvidia)
Pour le scan avec kapersky
Supprime tout les elements supprimés dans outloock (supprime definitivement)
Désactiva la restauration systeme
Refais un scan kapersky qui ne devrait plus rien trouver puis réactive la restauration systeme si ok |
|
Revenir en haut de page |
|
|
Migueline
Inscrit le: 01 Nov 2005 Messages: 24
|
Posté le: 02 Nov 2005 à 22:15 Sujet du message: |
|
|
A la maison, je ne suis pas en réseau...
Je ne sais pas comment s'appelle la saloperie qui commence sérieusement à m'énerver...
La barre search après avoir disparue grâce à vin-moi, est revenue.
Idem pour la barre bleue du bas (make money, music et casino...)
Les pop-up reprennent malgré Pop Up Stopper
Avast ne trouve rien et pourtant j'ai tjs 11 favoris que je ne veux pas (cool stuf, travel, shoping guide, one line gaming...) et ces satanées barres qui sont revenues ! Alors c'est quoi ? |
|
Revenir en haut de page |
|
|
Migueline
Inscrit le: 01 Nov 2005 Messages: 24
|
Posté le: 02 Nov 2005 à 22:17 Sujet du message: |
|
|
Laurent, j'ai déjà fait tout ce que tu me dis, après le message de Vin-moi de 14 h 12. ça a fait disparaitre qqs minutes les barres, mais elles sont revenues au galop ! |
|
Revenir en haut de page |
|
|
!aur3n7 Dépanneur
Inscrit le: 11 Oct 2005 Messages: 1328
|
Posté le: 02 Nov 2005 à 22:50 Sujet du message: |
|
|
avec hijackthis fixe ces lignes
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
cette barre n'apparait pas dans le log hijack |
|
Revenir en haut de page |
|
|
Migueline
Inscrit le: 01 Nov 2005 Messages: 24
|
Posté le: 02 Nov 2005 à 23:06 Sujet du message: |
|
|
OK Laurent, c'est fait, tu vas voir que la barre, bien que refixer au moins 10 fois réapparaît tjs...
ci joint mon nveau log...
Log hijackthis supprimé |
|
Revenir en haut de page |
|
|
Migueline
Inscrit le: 01 Nov 2005 Messages: 24
|
Posté le: 02 Nov 2005 à 23:19 Sujet du message: |
|
|
pdt que je répondais à Laurent, j'ai fait un scan a2squared. Voici le résultat :
a² Report
Filename Diagnosis
C:\Documents and Settings\Cabinet\Cookies\cabinet@advertising[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@as1.falkag[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@ayb.lop[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@bluestreak[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@casalemedia[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@counter.hitslink[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@doubleclick[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@lop[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@revenue[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@servedby.advertising[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@tradedoubler[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@valueclick[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@weborama[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@z1.adserver[1].txt Trace.TrackingCookie |
|
Revenir en haut de page |
|
|
vin-moi Administrateur
Inscrit le: 28 Aoû 2004 Messages: 6897 Localisation: France
|
Posté le: 03 Nov 2005 à 0:55 Sujet du message: |
|
|
C'est bizzare quand même ! avec un scan antivirus et antspyware ca revient quand même ...
Tu as bien fait un scan avec Spybot, ad-aware et CWShredder à jour ?
Il n'y a pas de programme qui te sont inconnu dans ajout/suppresion de programme ?
---
bon, finalement , après quelques recherche, ca serait bien les spywares installés par MSN plus qui serait la source de tout ces ennui (pub, barre de recherche, et le virus detecté). Lors de l'installation, du as du accepter les sponsors de MSN+ ...
Alors je te conseille vivement de désinstaller MSN+. Ensuite, désactive encore une fois la restauration système et déconecte toi d'internet.
et télécharge toolbar_uninstall.exe (pour la toolbarr) et new_uninstall.exe pour les pages indésirables
après remet la restauration système.
et vu que l'executable n'est plus sur ton disque dur, l'outil de désinstallation va peut etre te proposer de forcer la désinstallation de que tu doit faire évidemment. _________________ |
|
Revenir en haut de page |
|
|
Migueline
Inscrit le: 01 Nov 2005 Messages: 24
|
Posté le: 07 Nov 2005 à 23:45 Sujet du message: |
|
|
Vin-moi, tu es génial !
Comment te remercier ! C'est fini, fi-ni ! Merci mille fois.
J'ai eu un peu de mal car mon anti-virus m'empêchait d'installer tes progrm de désinstallation, mais une fois désactivé, no pb,
Bravo, chapeau bas, merci !
Si un jour tu as envie au cours de tes études de faire un stage en cabinet d'avocat (on sait jamais) n'hésite pas à me contacter...
Merci encore du temps que tu as passé... |
|
Revenir en haut de page |
|
|
Ajouter à :
|
|