Aller au contenu

Le Virus Trojan.simcss !


BZHcool

Sujets conseillés

Bonjour tout le monde!!!

J'étais très heureux de trouver ce site parce que ça fait longtemps que ce virus m'embete mais malheureusement j'ai l'impression que j'ai le meme probleme que "jhi" et que "lochness" (voir plus haut). :(

Quand je fais "démarrer/exécuter/regedit" j'ai une arborescence qui me permet de descendre jusqu'à "run" dans la partie gauche. Dans la partie droite j'ai deux mentions mais pas toutes les infos que vous mentionnez après run.

Apparemment "lochness" a réussi à résoudre le probleme.Si lui ou quelqu'un d'autre pouvait m'aider.

Merci d'avance :)

Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 91
  • Créé
  • Dernière réponse

Contributeurs actifs dans ce sujet

Contributeurs actifs dans ce sujet

Et maintenant quand je consulte les éléments mis en quarantaine je trouve 0 et en dessous j'ai "elements de savegarde" je trouve 8  parmi eux ya "mslagent" quand je met sur propriété j'ai ce message " il s'agit d'une copie de sauvegarde d'un element reparé, suprimez cette copie quand vous aurez verifier cet element reparé" que dois-je faire? je le supprime??

Je vous remercie encore une fois vous etes un ange!!!!!

Bonjour laya,

Tu peux sans problème supprimer cet éléments.

Lorsque Norton "désinfecte" un fichier, il en garde une copie au cas où la désinfection se passerait mal.

Il est donc sage de garder ces éléments quelques jours en attendant d'avoir vérifié que tout fonctionne correctement.

Une fois ce délai passé, on efface sans état d'âme ce qui se trouve en quarantaine et en sauvegarde.

Dan

Lien vers le commentaire
Partager sur d’autres sites

J'étais très heureux de trouver ce site parce que ça fait longtemps que ce virus m'embete mais malheureusement j'ai l'impression que j'ai le meme probleme que "jhi" et que "lochness" (voir plus haut). :(

Salut la guigne,

Si tu ne trouves pas certaines des clés de registre mentionnées ci-dessus, que cela ne t'mpêche pas de supprimer celles que tu trouves. ;)

As-tu vérifié les autres clés ?

Dan

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ton aide Dan.

Mais en fait j'avais déjà supprimé les clés que j'ai trouvées et je me suis enfin débarassé du virus en suivant les instructions.

Ce site est vraiment génial.Maintenant je sais où aller si j'ai un probleme de PC.

Encore merci pour tout!!! :up::)

Lien vers le commentaire
Partager sur d’autres sites

Salut Dan miiiiiiiiiiiiiiiiil merci!!!!!!!!!!! :):):):D

Donc je vais supprimer tous ces éléments de sauvegarde ;)

Vraiment je suis très contente d'avoir trouvé ce forum et je te remercie infiniment Dan pour ton aide :flower:

Lien vers le commentaire
Partager sur d’autres sites

bonjours je vient de m'inscrire car j'est le virus trojansimcss mais moi il est different de celui des autre

d'abord norton 2003 le trouve quand je scanne alors il me met qu'il l'a supprime alors je fait ok mais desque j'est mis ok il me dit qu'il l'a trouve autre part et ca ca dure logtemps j'est fait ok pendant 10 minute puis j'est arrete

sur les precedant post vous dite d'aller dans le registre mais moi tout les nom de fichier que vous dite qu'il faut supprimer je ne les ait pas

de plus instant acces je l'est virer de mon ordi avec regclean

mais le virus est toujours que doit je faire

cui vous trouver comment faire donne moi des explcation tres precise je suis un nul en informatique

merci d'avance

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines plus tard...

Salut Dan, et les autres!

J'ai bien lu les 4 pages concernant le virus trojan simcss et je l'ai moi aussi chopé!

J'ai bien suivi toutes les instrucitons et malheureusement je ne trouve aucune des clés que vous indiquez!

Je suis sous Windows 98!

Et ca commence à m'énerver tout ca!

J'ai beau recommencer la manip je ne trouve jamais les clés indiquées.

Je trouve des clés mais je ne veux pas supprimer n'importe quoi

Je ne comprends plus!

Merci d'avance

Modifié par globule
Lien vers le commentaire
Partager sur d’autres sites

Michael et Globule,

Démarrez l'ordinateur en mode sans-échec (touche F8 au démarrage)

Dans le répertoire c:\windows, vous trouverez un ou plusieurs des répertoires suivants: simcss, wintrim ou navpmc.

Ce répertoire contient un exécutable uninstall.exe sur lequel il faut double-cliquer.

Ensuite, supprimez le fichier C:\WINDOWS\NavExt.dll et le répertoire C:\WINDOWS\NAVPMC\

Redémarrez l'ordinateur...

Dan

PS: je vous suggère à tous deux de mettre votre antivirus à jour et de télécharger ad-aware ou spybot. Cela vous évitera ces désagréments à l'avenir.

Lien vers le commentaire
Partager sur d’autres sites

bonjour,

j'ai windows 98, j'ai fais une analyse norton, j'ai :

Download.Trojan a infecté votre fichier c:/WINDOWS/audio.exe

et d'autres download.trojan ...

comment les enlever ?

Lien vers le commentaire
Partager sur d’autres sites

bonjour,

j'ai windows 98, j'ai fais une analyse norton, j'ai :

Download.Trojan a infecté votre fichier c:/WINDOWS/audio.exe

et d'autres download.trojan ...

comment les enlever ?

Si Norton ne peut pas réparer les fichiers, il faut les mettre en quarantaine.

Une particularité de Norton, depuis la sortie du Virus Sasser, est qu'il détecte tous les "dialers" comme étant des virii.

Cela peut par exemple être le cas de programmes que vous utilisez pour accéder à des sites -le plus souvent adultes- a contenu payant.

Attention à la facture FT dans ce cas ;)

Dan

Lien vers le commentaire
Partager sur d’autres sites

Salut à tous

J'ai retiré ce que j'ai trouvé puisque je n'ai pas tout trouvé mais lorsque je refais norton (qui est à jour) il me détectait avant mslagent comme virus et uninstall.exe.

Maintenant que j'ai retiré ce que vous m'indiquiez, il reste encore uninstall.exe

et je ne sais vraiment plus comment faire.

De plus, depuis cet après midi, je ne sais pas si ca a rapport avec ce virus ou si c'st un problème du à ma connexion mais je n'arrive plus à me connecter à msn messenger (il m'indique qu'il y a un problème du à ma connexion).

Mais ce qui me surprend c'est que je peux me connecter à internet.

Ce qui me surprend encore plus c'est que certaines pages ne s'affichent plus (mon mail yahoo).

Alors, je me demandais si ce virus par hasard ne m'empechait pas d'accéder aux pages auxquelles je me connecte le plus souvent.

Merci d'avance, je suis complètement désemparé face au problème.

DAMIEN

Lien vers le commentaire
Partager sur d’autres sites

Bonjour BZHcool,

Je viens de recevoir un coup de fil désepéré de ma chére Maman.

Aprés avoir suivi tes instructions sur l'éradication du virus TROJAN .SIMCSS , son micro reste allumé 1 mn puis s'éteint automatiquement : :down:

Puis aprés quelques manipulations , le message d'erreur sous DOS apparait :

"Windows n'a pas démarré car le fichier suivant est manquant ou endommagé :

C:/Windows/system 32/hal.dll"

"Veuillez réinstaller une copie du fichier ci-dessus"

Merci d'avance pour ton aide...et pour garder de bonne relation avec Maman: elle attend mon appel téléphonique

Lien vers le commentaire
Partager sur d’autres sites

pour garder de bonne relations avec ma maman chérie, je v carrément chercher son UC pour réparer tranquillement chez moi. Si la tienne n'est pas loin, c le mieux...

Lien vers le commentaire
Partager sur d’autres sites

De plus, depuis cet après midi, je ne sais pas si ca a rapport avec ce virus ou si c'st un problème du à ma connexion mais je n'arrive plus à me connecter à msn messenger (il m'indique qu'il y a un problème du à ma connexion).

Mais ce qui me surprend c'est que je peux me connecter à internet.

Ce qui me surprend encore plus c'est que certaines pages ne s'affichent plus (mon mail yahoo).

SalutGlobule

tu as Norton Firewall?? si c'est ce la cas peut être tu as bloqué l'accès a MSN et à Yahoo. Moi quand j'ai installé le pare feu je les ai bloqué sans faire attention quand j'ai eu un cadre qui me disait "Voulais vous bloquer l'acces a .msn" ou quelquechose comme ca et depuis j'ai pas pu me connecter a MSN j'ai du désinstaler le pare feu et le reinstaler.

j'espère que tu pourras résoudre ton pronblème

courage et bonne chance

Lien vers le commentaire
Partager sur d’autres sites

  • 5 semaines plus tard...

Je suis bien content d'être tombé sur ce site, grâce à vous j'ai pu me débarasser de ce :shutup: de virus! Continuez comme ça c'est vraiment bien.

Sinon j'ai un autre fichier dans le genre de ce fameux EGDHTM_1024.dll qui lui s'appelle BS3.dll. Même problème : au démarrage il m'indique un message d'erreur. J'ai réussi à supprimer EGDHTM_1024.dll mais pas celui là, j'fais comment?...

Modifié par Le Koala
Lien vers le commentaire
Partager sur d’autres sites

  • 1 year later...

hello

bein moi aussi je prend le train "instant access" mais avec quelques wagons de retard (1 an)

les clefs que je trouve (et eface) dans regedit sont liées aux mot clef suivant :

- insant access

- dialpass

- nocreditcard

- security-updater

j'ai virer mes fichiers temporaires, ce que j'ai trouver dans prgm files (instant access) et tout ce que m'as trouver spybot (mis à jour)

et lorsque je démarre IE, au bout d'un moment une à#{[ù*$ de banniere de cul s'ouvre (adresse the-best-promo redirigée depuis security-updtater)

le virus aurait il évoluer ???

j'ai de plus l'impression qu'il s'est incruster dans IE (pas de soucis depuis firefox)

d'ailleur spybot m'a indiquer que IE avant évoluer depuis sont install (dans le menu desinstanll ... il y avait un chiffre derriere IE)

j'ai esseyer de desinstaller IE ... il n'apparait plus dans la fenetre de desinstall mais est tjrs là .... et le virus revient tjrs

le pire c'est que maintenant je ne trouves meme plus mes entrées louches dans regedit

bref, je suis paumé et je ne sais plus quoi faire

quelqu'un aurait une idée ???

fabe

Lien vers le commentaire
Partager sur d’autres sites

Tu ne dis pas si tu tournes XP ou autre chose ?

Dans le cas de XP et Me, il FAUT désactiver la restauration système avant de lancer un full scan (antivirus ou anti-spyware), sinon ces programmes ne pourront pas nettoyer la zone réservée à la restauration système.

Lien vers le commentaire
Partager sur d’autres sites

En faisant un clic droit sur "poste de travail", tu choisis "propriétés" dans le menu déroulant.

Une fois que le fenêtre s'ouvre, choisis l'onglet "restauration système" et coche la case.

Dan

Lien vers le commentaire
Partager sur d’autres sites

merci

j'avais trouvé entre temps (pas tres compliqué, mais j'connaissais pô)

je fini de télécharger l'artillerie lourde, je reboot en safe-mode sans la restauration et je lui fais la peau !!! ;-)

ps : est ce que la restauration du systeme permet de revenir en arriere qd on a choper un spyware ??

Lien vers le commentaire
Partager sur d’autres sites

help

là, j'ai sorti l'artillerie lourde :

-désactivation de la restauration du system

-démarrage mode sans echec

-spyboot

-ad aware SE complet

-ad aware SE leger

-MS antispyware

-re spyboot pour le fun

-effacement des fichiers internet temporaires

-redemarrage en mode normal

-repassage en retauration du system activée

et le revoila cet #ù§µ$£@& de spyware

pour info, la seule methode de détection que j'ai pour voir s'il est revenu, c'est de retourner sur le net avec IE (et non firefox), et de voir s'il fini par ouvrir cette fenetre un site de cul (the-best-propo.com redirigée depuis security-updater.com)

mon hijackthis, en esperant que quelqu'un puisse m'aider :

Logfile of HijackThis v1.99.1

Scan saved at 17:43:25, on 27/07/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\PROGRA~1\NavNT\DefWatch.exe

C:\PROGRA~1\ROCKWE~1\RSCOMMON\RSObServ.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\NALNTSRV.EXE

C:\WINDOWS\System32\NA_Service.exe

C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE

C:\WINDOWS\System32\NA_XWAY.exe

C:\PROGRA~1\NavNT\rtvscan.exe

C:\PROGRA~1\ROCKWE~1\RSLINX\RSLINX.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wm.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\NWTRAY.EXE

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/documents%20and%20Settings/ebp5592/My%20Documents/PLEASE%20NO%20VIRTUAL%20SEX%20ON%20THIS%20COMPUTER.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/documents%20and%20Settings/ebp5592/My%20Documents/PLEASE%20NO%20VIRTUAL%20SEX%20ON%20THIS%20COMPUTER.htm

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://swebi.fr.schneider-electric.com/

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O1 - Hosts: 139.160.132.100 zenwsimport

O1 - Hosts: 139.160.24.128 NFFR1121 # Serveur NOVELL Netware de J

O1 - Hosts: 139.160.126.194 SERVEUR_FTP # ?

O1 - Hosts: 139.160.126.196 NAECARAT # Serveur de Communication CARAT

O1 - Hosts: 139.160.84.30 CCO_SRV # configuration serveur CCONLINE

O1 - Hosts: 139.158.132.244 ibisco # Serveur pour EOLE

O1 - Hosts: 139.160.221.146 cristal # Serveur pour EOLE

O1 - Hosts: 139.160.88.103 galilee # Serveur pour EOLE

O1 - Hosts: 139.160.88.13 pascal # Serveur pour EOLE

O1 - Hosts: 139.158.123.213 wisla # VEGA-Pologne

O1 - Hosts: 139.158.138.15 rhinoceros # VEGA-Naples

O1 - Hosts: 139.158.89.7 tech # VEGA-Thailande

O1 - Hosts: 139.160.165.9 lievre # VEGA-Prodipact

O1 - Hosts: 139.160.184.26 dauphin # VEGA-Afi

O1 - Hosts: 139.160.50.214 koala # VEGA-S2

O1 - Hosts: 139.160.50.215 lion # VEGA-serveur CAO s2

O1 - Hosts: 157.198.203.141 ws096 # VEGA-US

O1 - Hosts: 157.198.237.19 ws008 # VEGA-Columbia

O1 - Hosts: 157.198.221.201 "ENG \0x1b" #PRE Serveur licences Autocad1

O1 - Hosts: 157.198.221.201 MNVSM01 #PRE #DOM:ENG #Software Distribution Server Serveur licences Autocad

O1 - Hosts: 157.198.238.19 MRLSM01 #PRE #DOM:ENG #Software Distribution Server Serveur licences Autocad

O1 - Hosts: 157.198.203.159 MCRSM01 #PRE #DOM:ENG #Software Distribution Server Serveur licences Autocad

O1 - Hosts: 139.160.50.21 flexlmserver # Serveur licences Pro Eng S2

O1 - Hosts: 139.160.161.188 Schneider # Serveur de gestion des badges

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O16 - DPF: {1604DF98-D1A5-44FE-844A-98D6FD0518D0} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1060_XP.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/s...svc32_EN_XP.cab

O16 - DPF: {FA83E942-B796-46DE-9155-1632ECC5473B} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1061_XP.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = fr.schneider-electric.com

O17 - HKLM\Software\..\Telephony: DomainName = fr.schneider-electric.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{713974A8-6C0C-46ED-A683-1FE0261B7A0A}: NameServer = 193.193.255.87 193.193.250.24

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = fr.schneider-electric.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = fr.schneider-electric.com

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\NavNT\DefWatch.exe

O23 - Service: dnWhoDisp - Unknown owner - C:\Program Files\Rockwell Software\RSLINX\dnwhodisp.exe

O23 - Service: Harmony - Rockwell Software Inc. - C:\PROGRA~1\ROCKWE~1\RSCOMMON\RSObServ.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINDOWS\System32\NALNTSRV.EXE

O23 - Service: NetAccess Service (NA_Service) - Schneider Automation - C:\WINDOWS\System32\NA_Service.exe

O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\NavNT\rtvscan.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\hpzipm12.exe

O23 - Service: RSLinx - Rockwell Software, Inc. - C:\PROGRA~1\ROCKWE~1\RSLINX\RSLINX.EXE

O23 - Service: Novell Workstation Manager (WM) - Novell, Inc. - C:\WINDOWS\System32\wm.exe

O23 - Service: Xway TCP/IP (XipConnect) - Unknown owner - C:\XWAYDRV\XIPCONNECT.EXE (file missing)

Lien vers le commentaire
Partager sur d’autres sites

juste pour etre plus complet, lors de mes passages d'antispyware :

-spyboot : 3 merdes (instant access)

-ad aware SE complet : 2 merdes (instant access et alexa)

-ad aware SE leger : 0 merde

-MS antispyware : 1 merde (instant access)

-re spyboot pour le fun : 0 merde

et merci de l'aide jusque là au fait ;)

Lien vers le commentaire
Partager sur d’autres sites

J'enlèverais déjà:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/documents%20and%20Settings/ebp5592/My%20Documents/PLEASE%20NO%20VIRTUAL%20SEX%20ON%20THIS%20COMPUTER.htm

et

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/documents%20and%20Settings/ebp5592/My%20Documents/PLEASE%20NO%20VIRTUAL%20SEX%20ON%20THIS%20COMPUTER.htm

et

O23 - Service: Xway TCP/IP (XipConnect) - Unknown owner - C:\XWAYDRV\XIPCONNECT.EXE (file missing)

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant

×
×
  • Créer...