[Résolu] j'ai un troyen !

vin-moi · Posté le: 01 Nov 2005 à 23:37 Sujet du message:

Alors dejà, pour te débarrasser de nvsc32.exe dont son petit nom est nvsc32.exe :

Commence tout d'abord par te rendre sur www.windowsupdate.com et par mettre ton système à jour (et redemarre) et active le firewall de XP ou installe un firewall si ce n'est pas fait.

fait ctrl + alt + suppr et va dans les processus. Si il y est, fait "terminer le processus".

va ensuite dans la base de registre, démarrer > executer et tape "regedit.exe" .

maintenant, fait fichier > exporter et enregistre ou tu veux le fichier de sauvegarde (simple précaution).

Supprime maintenant les entrées suivantes dans le registre (crées par le virus)(si elles sont présentes) :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NvCplScan = "nvsc32.exe"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NvCplScan = "nvsc32.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\NvCplScan = "nvsc32.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\NvCplScan = "nvsc32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\NvCplScan = "nvsc32.exe"

Enfin, fait une recherche sur ton disque dur de nvsc32.exe et supprime le , il devrait etre dans C:\Windows ou C:\windows\System32 .

Plus d'information : va voir ici

[+] Pour la barre de recherche sur Internet Explorer, va voir dans démarrer > panneau de configuration > ajout/suppression de programme et regarde si tu ne peux pas la désinstaller !
_________________

!aur3n7 · Dépanneur Inscrit le: 11 Oct 2005 Messages: 1328

Fais un scan ici avec internet explorer http://webscanner.kaspersky.fr/
(il devrait soit l'eradiquer soit nous en dire plus car aucun processus dans ton log ne fait état a ce fichier ce qui devrait etre le cas en suivant le descriptif de virustraq ce qui implique qu'un processus ou autre service le lance et avant de supprimer le fichier il est toujours bon d'en connaitre et de supprimer la source car rien ne dit que le processus en question ne soit pas en mesure de remettre ce fichier apres suppression.

Migueline · Inscrit le: 01 Nov 2005 Messages: 24

Alors, j'ai fait ce que Vin moi et Laurent m'ont dit :
Pour vin moi d'abord windows update, je le fais systématiquement, mais par acquis de conscience, je l'ai refait.
Ensuite aller dans le processus, là j'ai pas su. Qd je fais CTRL Alt + supr, on ne me propose que "fin de tache" "basculer" ou "nouvelle tache".
J'ai ensuite fait le regedit.exe, mais je n'ai pas trouvé les lignes current version.
J'avais juqu'à HKLM SOFTWARE MICROSORFT WINDOWS mais pas après...
Ensuite j'ai fait une recherche par explorer, mais je n'ai pas trouvé non plus, enfin, j'ai fait une recherche par démarer, rechercher puis nvsc32.exe, mais la recherche ne donne rien...

Pour Laurent : j'ai fait le scan par kaspersky, qui me trouve :
C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From info[at]postf**-1.free.fr][Date Mon, 22 Nov 2004 00:24:06 GMT]/UNNAMED/postfix3-1.6528.com Infecté: Email-Worm.Win32.Sober.i ignoré

C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From info[at]postfi**-1.free.fr][Date Mon, 22 Nov 2004 00:24:06 GMT]/UNNAMED Infecté: Email-Worm.Win32.Sober.i ignoré

C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From hostmaster[at]inve***ntrepreneurs.org][Date Mon, 22 Nov 2004 02:52:12 UTC]/UNNAMED/investinentrepreneurs.6599.bat Infecté: Email-Worm.Win32.Sober.i ignoré

C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From hostmaster[at]investi***entrepreneurs.org][Date Mon, 22 Nov 2004 02:52:12 UTC]/UNNAMED Infecté: Email-Worm.Win32.Sober.i ignoré

C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From user_in**o[at]mmm.com][Date Mon, 22 Nov 2004 04:14:28 UTC]/UNNAMED/mmm.9927.com Infecté: Email-Worm.Win32.Sober.i ignoré

C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From user_**o[at]mmm.com][Date Mon, 22 Nov 2004 04:14:28 UTC]/UNNAMED Infecté: Email-Worm.Win32.Sober.i ignoré

C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From hos***aster[at]mmm.com][Date Mon, 22 Nov 2004 07:26:30 GMT]/UNNAMED/mmm_5364.DOC.bat Infecté: Email-Worm.Win32.Sober.i ignoré

C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From hostmas**r[at]mmm.com][Date Mon, 22 Nov 2004 07:26:30 GMT]/UNNAMED Infecté: Email-Worm.Win32.Sober.i ignoré

C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx Mail MS Outlook 5: infecté - 8 ignoré

C:\System Volume Information\_restore{693DD437-849D-48DB-8A53-4535A74148A2}\RP372\A0076458.exe Infecté: Backdoor.Win32.Ruledor.j ignoré

C:\System Volume Information\_restore{693DD437-849D-48DB-8A53-4535A74148A2}\RP376\A0076894.exe Infecté: Trojan-Downloader.Win32.Swizzor.bo ignoré

C:\System Volume Information\_restore{693DD437-849D-48DB-8A53-4535A74148A2}\RP380\A0077146.exe Infecté: Trojan-Downloader.Win32.Swizzor.dv ignoré

C:\System Volume Information\_restore{693DD437-849D-48DB-8A53-4535A74148A2}\RP380\A0077147.exe Infecté: Trojan-Downloader.Win32.Swizzor.cb ignoré

mais qui ne me propose pas de l'effacer !...

Enfin pour la barre de recherche sur IE, c'est évidement la première chose que j'ai faite de chercher ds ajout suppression des progrm... mais ce serait trop simple, elle n'y est pas !

Mon pb n'est tout de même pas insoluble ?...

vin-moi · Posté le: 02 Nov 2005 à 15:12 Sujet du message:

Bon, peut etre que l'antivirus en ligne ne permet que la detection des virus et pas la suppression.

Alors, il y a des virus qui se cache dans le la restauration système. Pour la vider et les virus avec : démarrer > panneau de configuration > système > restauration sytème et tu désactive pour tous les lecteurs puis tu appliques. Après , ca devrait charger un moment le temps de vider les points de restauration.

Pour ceux qui sont dans les éléments supprimé de outlook: va dans outlook et regarde si tu ne peux pas vider les élément supprimés. Sinon , va dans le poste de travail > outil > option des dossiers > affichage et coche "afficher les fichiers et dossier cachés".

et vide le repertoire : C:\Documents and Settings\Cabinet\Local Settings\Application Data\Identities\{D519EABF-3E5E-4F3A-BDBC-FD65FD443E10}\Microsoft\Outlook Express\Éléments supprimés.dbx/

Vide aussi les répertoires suivant :

C:\Documents and Settings\Cabinet\Local Settings\Temp
C:\Documents and Settings\Cabinet\Local Settings\Temporary Internet Files
C:\Documents and Settings\Cabinet\Cookies
C:\WINDOWS\Temp

puis vide la corbeille.

Fait ces opérations en mode sans echec (F8 au démarrage).

Redémarre ton ordi sans te conecter à internet et refait un scan avec Avast! , si c'est pas concluant, connecte toi et refait un scan en ligne.

Ensuite réactive la restauration système en fesant l'opération inverse Smile

[edit] et supprime bien dans hijackthis ces entrées données par Laurent :

Migueline · Inscrit le: 01 Nov 2005 Messages: 24

Ok Vin-moi, j'ai tout fait...mais je n'arrive pas à supprimer le nvsc32. Il revient à chaque fois que je rouvre le hijack this.

voici le dernier log :

Log hijackthis supprimé

C'est à désespérer ?...

vin-moi · Posté le: 02 Nov 2005 à 18:53 Sujet du message:

Bin pourtant il n'y est pas dans ton LOG Confused

, il n'est pas sur ton disque dur et ni dans le registre Shock

_________________

rockboy · Inscrit le: 03 Aoû 2005 Messages: 500 Localisation: [CH]

T'es sûr d'avoir un trojan ? Laughing

Il est peut-être sur un réseau de ta maison (si tu en as un) et il vient te voir de temps en temps... Question

_________________

!aur3n7 · Dépanneur Inscrit le: 11 Oct 2005 Messages: 1328

petite précision il ne faut pas confondre ce fichier avec celui ci C:\WINDOWS\System32\nvsvc32.exe qui est totalement légitime (driver Nvidia)

Pour le scan avec kapersky

Supprime tout les elements supprimés dans outloock (supprime definitivement)

Désactiva la restauration systeme

Refais un scan kapersky qui ne devrait plus rien trouver puis réactive la restauration systeme si ok

Migueline · Inscrit le: 01 Nov 2005 Messages: 24

A la maison, je ne suis pas en réseau...
Je ne sais pas comment s'appelle la saloperie qui commence sérieusement à m'énerver...
La barre search après avoir disparue grâce à vin-moi, est revenue.
Idem pour la barre bleue du bas (make money, music et casino...)
Les pop-up reprennent malgré Pop Up Stopper
Avast ne trouve rien et pourtant j'ai tjs 11 favoris que je ne veux pas (cool stuf, travel, shoping guide, one line gaming...) et ces satanées barres qui sont revenues ! Alors c'est quoi ?

Migueline · Inscrit le: 01 Nov 2005 Messages: 24

Laurent, j'ai déjà fait tout ce que tu me dis, après le message de Vin-moi de 14 h 12. ça a fait disparaitre qqs minutes les barres, mais elles sont revenues au galop !

!aur3n7 · Dépanneur Inscrit le: 11 Oct 2005 Messages: 1328

avec hijackthis fixe ces lignes
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

cette barre n'apparait pas dans le log hijack Wink

Migueline · Inscrit le: 01 Nov 2005 Messages: 24

OK Laurent, c'est fait, tu vas voir que la barre, bien que refixer au moins 10 fois réapparaît tjs...

ci joint mon nveau log...
Log hijackthis supprimé

Migueline · Inscrit le: 01 Nov 2005 Messages: 24

pdt que je répondais à Laurent, j'ai fait un scan a2squared. Voici le résultat :
a² Report
Filename Diagnosis
C:\Documents and Settings\Cabinet\Cookies\cabinet@advertising[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@as1.falkag[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@ayb.lop[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@bluestreak[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@casalemedia[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@counter.hitslink[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@doubleclick[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@lop[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@revenue[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@servedby.advertising[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@tradedoubler[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@valueclick[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@weborama[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cabinet\Cookies\cabinet@z1.adserver[1].txt Trace.TrackingCookie

vin-moi · Posté le: 03 Nov 2005 à 0:55 Sujet du message:

C'est bizzare quand même ! avec un scan antivirus et antspyware ca revient quand même ...

Tu as bien fait un scan avec Spybot, ad-aware et CWShredder à jour ?

Il n'y a pas de programme qui te sont inconnu dans ajout/suppresion de programme ?
---
bon, finalement , après quelques recherche, ca serait bien les spywares installés par MSN plus qui serait la source de tout ces ennui (pub, barre de recherche, et le virus detecté). Lors de l'installation, du as du accepter les sponsors de MSN+ ...

Alors je te conseille vivement de désinstaller MSN+. Ensuite, désactive encore une fois la restauration système et déconecte toi d'internet.

et télécharge toolbar_uninstall.exe (pour la toolbarr) et new_uninstall.exe pour les pages indésirables

après remet la restauration système.

et vu que l'executable n'est plus sur ton disque dur, l'outil de désinstallation va peut etre te proposer de forcer la désinstallation de que tu doit faire évidemment.
_________________

Migueline · Inscrit le: 01 Nov 2005 Messages: 24

Vin-moi, tu es génial !
Comment te remercier ! C'est fini, fi-ni ! Merci mille fois.
J'ai eu un peu de mal car mon anti-virus m'empêchait d'installer tes progrm de désinstallation, mais une fois désactivé, no pb,
Bravo, chapeau bas, merci !
Si un jour tu as envie au cours de tes études de faire un stage en cabinet d'avocat (on sait jamais) n'hésite pas à me contacter...
Merci encore du temps que tu as passé...

Bienvenue : Connexion \| Inscription
La date/heure actuelle est 02 Mai 2024 à 16:46	FAQ \| Rechercher \| Membres \| Groupes

[Résolu] j'ai un troyen ! Aller à la page Précédente 1, 2, 3 Suivante
Ce que nous vous conseillons : Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.

	DepanneTonPC Index du Forum -> Internet	Toutes les heures sont au format GMT + 2 Heures Aller à la page Précédente 1, 2, 3 Suivante
Page 2 sur 3