Bonjour a tous g grand besoin d'aide !!!
Voila j'ai un virus ou peut etre un troyen je ne sais pas trop le fichier en question est dans mon c:\document and Setting\jean sous le nom de sp.exe et avec l'icone d'une archive.
Il n'y a pas de probleme au démarrage de la bécane c impeccable mais lorsque j'essaye de me connecter a internet , toutes les 20 secondes je recois des pages web ayant pour titre "Windows XP Security and Privacy " l'adresse est C:\documents and settings\jean\%sysroot%\update-sp1.html d'ailleurs c comme ca que j'ai compri que c'etai le fichier sp.exe qui etait la cause car lorsque je supprime le fichier %sysroot% et que je lance sp.exe il me cree le fichier %sysroot% et lance en premier une ligne de command ms-dos (c:\windows\system32\cmd.exe) puis les pages webs Windows XP Security and Privacy , lorsque j'essaye de degager ces pages web j'ai des invites de la forme Prompt et alert qui arrive genre 7 ou 8 qui me signale par exemple que je ne peux lire les controles active X (dans mes proprietes de securite j'ai par defaut moyen qui permet bien sur les controle active X mais c'est comme si le virus trafiquait les parametres de securites pour en mettre aucun ni active X ni script ....).Dans le fichier %sysroot% j'ai 5 document html de la forme update-sp1.html , update-sp2.html jusqu'a update-sp5.html tous les memes a part le titre sous de 24 ko , il se charge l'un apres l'autre lors d'une connection internet j'ai la premiere page web update-sp1.html qui se lance comme un pop-up sans avoir fait aucune manip je la degage en cliquant sur des alert et des prompt trés chiant et la sp arrive jusqu'a sp5 , dans le fichier %sysroot% j'ai aussi 2 fichier registre : kansy.reg et kany.reg un fichier bat : p.bat je l'ai editer ce bad boy et il me retourne ca :
@echo off
regedit.exe /s kany.reg
update-sp1.html
update-sp2.html
update-sp3.html
update-sp4.html
update-sp5.html
regedit.exe /s kansy .reg
exit
Je suis pas un as de la prog batch c pas mon domaine mais j'imagine que ca correspond a l'invite de commande ms-dos vide que j'ai l'echo off permet surement de cacher les commandes...
Donc j'arrive aux conclusion suivantes ce mechant je ne sais pas quoi n'en veut pas a mes donnes car il n'est pas appele par rapport a un autre programme c'est juste un emmerdeur qui se lance en executant le fichier sp.exe (c:\documents and settings\jean\sp.exe) puis il creer le repertoire (c:\document and settings\jean\%SYSROOT%) puis le fichier bat est lancee qui lance lui meme les 5 fichier html tres chiant avec tout leurs invite prompt et alert qui me disent des trucs mechant sur les parametres de securite internet et les bidouilles.
Bon alors je v dans le msconfig esperant trouver un appel au sp.exe dans les fichier de demarrage et j'ai ceci :
atiptaxx (pas de prob c ma carte graphique)
Nerocheck (pas de prob c le brave nero)
kysvcxd ???? (je c pas )
ctfmon (pas de prob c un processus de windows)
encore kysvcxd ??? (tien tien 2 fois il est gourmand)
dslmon (no prob c mon adsl)
wcautosave (no prob c pour war3)
kysvcxd (wahooo jamais 2 sans 3 lui il a peur de pas etre demarre ma parole)
wuamkop32 (ok ca c un mechant et je le sais j'ai supprime en mode sans echec ce fichier car mon antivirus antivirxp me l'avai detecte)
sysuptime (meme remarque)
qyloano (je c pas ce ke c )
Au niveau des services demarre je ne suis pas un expert donc je peux pas trop dire , mon boot.ini est correct et je ne sais pas analyser mon system.ini et mon win.ini.
Autre remarque je pense que c'est lie au virus en plus de des pages web j'avais des affiche de message du style (de critical a error your pc has encountered a fatal error bla bla bla) j'ai degager ce probleme en desactivant le service affichage des messages qui permet a l'admin d'afficher des messages aux postes clients .
Autre remarque j'ai antivirXP mise a jour et j'ai supprimer grace a lui wuamkop32 et sysuptime des fichiers proteger donc je l'ai ai supprime en mode sans echec mais j'ai quelque chose de tres bizarre lors d'un scan complet c'est qu'il repere des virus ou des vers je c plus sur des archives .cab que je n'arrive pas a trouver sur mon ordi (demarrer -> rechercher) ils sont introuvable ils sont du genre v3.cab , joysaver.cab , v3[1].cab , v3[2].cab et il me les detecte comme archive dangereuse mais helas invisible pour moi ...
Voila si vous savez comment m'aidez a vos claviers (bravo d'avoir tout lu c assez mal ecris a la va vite et pas tres organise mais bon ...)
merci d'avance
Aucun commentaire:
Enregistrer un commentaire