Mephisto Posté(e) le 9 décembre 2008 Partager Posté(e) le 9 décembre 2008 Bonjour petite question: infection par un installeur de codecs (je sais, ca sentait mauvais d'entre de jeux, j'ai quand meme tente ma chance) j'ai maintenant un dossier cache 'resycled' qui s'installe a la racine de tous mes disques locaux, contenant un binaire boot.com (30K), cache lui aussi. a la base, regulierement, spoolsv.exe se mettait a saturer ma RAM, puis mon CPU, et me coupait toutes les connexions reseau (message d'erreurs d'autres applis reseau, arrivant tous simultanement, c'etait plutot violent ) bon, j'ai desactive le service spooleur d'impression, et depuis, le virus ne me pose plus de problemes (du moins, je ne les vois pas) pas de connexions (de toute facon, a l'installation, j'avais cree une regle pour empecher le bordel de passer le firewall, et apparemment, ca fonctionne) scan du registre a la recherche d'un "resycled" (dans le doute): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c3ffc479-6c71-11dd-a30c-001a4d5352f5}\Shell\AutoRun\command (C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com g:) HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c3ffc479-6c71-11dd-a30c-001a4d5352f5}\Shell\Open\command (G:\resycled\boot.com g:) j'ai six autres occurences, correspondant a mes trois autres disques. j'ai tout vire. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache (C:\resycled\boot.com -> boot), vire egalement hijackthis ne me trouve rien de special (enfin, je peux post un log dans le doute). m'etant remis sous windows depuis peu, mes references sont sans doutes depasses. mais j'ai une entiere confiance en snooky Je ne suis pas certain d'avoir tout vire. Le comportement du PC est completement normal, excepte ces dossiers 'resycled' (mais je ne suis pas sur qu'ils reviendront pour autant) Voilou, si ca vous est deja arrive .... un avis supplementaire est toujours bon a prendre. Merci ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 9 décembre 2008 Partager Posté(e) le 9 décembre 2008 Salut , lance MBAM et ComboFix , poste les rapports créés. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mephisto Posté(e) le 10 décembre 2008 Auteur Partager Posté(e) le 10 décembre 2008 MBAM: Malwarebytes' Anti-Malware 1.31Version de la base de données: 1479 Windows 5.1.2600 Service Pack 2 10/12/2008 01:33:55 mbam-log-2008-12-10 (01-33-55).txt Type de recherche: Examen complet (C:\|E:\|G:\|V:\|) Eléments examinés: 89036 Temps écoulé: 31 minute(s), 16 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 1 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté) La suite demain. Merci ! nb: homeview est bien le truc que j'avais installe Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.