SUITE Message d'alerte inquietant
Fermé
GENIA001
-
16 mai 2005 à 12:52
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 17 mai 2005 à 00:32
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 17 mai 2005 à 00:32
A voir également:
- SUITE Message d'alerte inquietant
- Recuperer message whatsapp - Guide
- Message d'absence thunderbird - Guide
- Ce compte ne peut pas recevoir vos messages car il n’autorise aucune invitation par message ✓ - Forum Facebook
- Message non envoyé appuyez pour réessayer - Forum Mobile
- Laisser un message vocal et raccrocher - Forum Mobile
7 réponses
Utilisateur anonyme
16 mai 2005 à 13:03
16 mai 2005 à 13:03
RE,
1/supprime ce qui est en gras:
C:\WINDOWS\37224256.INS
C:\WINDOWS\autoclk.exe
C:\WINDOWS\cezax.dll
PS: un antivirus n est pas un anti trojan et vis versa, sa particularité fonctionelle est d empecher les virus, et sa seconde quelques trojans mais qui cela reste secondaire pour sa tache...
2/lance hijack, et fixe ceci:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [Windows Registry Name] crlbwqw.exe
O4 - HKLM\..\RunServices: [Windows Registry Name] crlbwqw.exe
O4 - Startup: PalNetaware.lnk = C:\RECYCLER\NPROTECT\00039876.EXE
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
supprime ceci:
C:\WINDOWS\System32\crlbwqw.exe
C:\RECYCLER\NPROTECT\00039876.EXE
repose un log hijack et refais un scan RAV < colle les 2 resultats
a+
1/supprime ce qui est en gras:
C:\WINDOWS\37224256.INS
C:\WINDOWS\autoclk.exe
C:\WINDOWS\cezax.dll
PS: un antivirus n est pas un anti trojan et vis versa, sa particularité fonctionelle est d empecher les virus, et sa seconde quelques trojans mais qui cela reste secondaire pour sa tache...
2/lance hijack, et fixe ceci:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [Windows Registry Name] crlbwqw.exe
O4 - HKLM\..\RunServices: [Windows Registry Name] crlbwqw.exe
O4 - Startup: PalNetaware.lnk = C:\RECYCLER\NPROTECT\00039876.EXE
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
supprime ceci:
C:\WINDOWS\System32\crlbwqw.exe
C:\RECYCLER\NPROTECT\00039876.EXE
repose un log hijack et refais un scan RAV < colle les 2 resultats
a+
Bonjour,
A regis59.
Ce matin, je n'arrivais même plus à ouvrir Windows XP, il a fallu que je me mette en Mode sans echec et que je restaure.
La aussi un autre problème à résoudre.
Hier , j'ai réinstallé Windows et en plus j'ai fait après un poin de restauration perso : Et bien il avait disparu ! j'ai du me contenter du seul automatique utilisable fait ce matin vers 8h 30.
Etonnant.
Peut-on parametrer cette fonction de point de restauration automatique parceque normalement, à la restauration de Windows, cela aurait déjà du se faire en automatisme.
Pour la disparition de point de restauration, c'est déjà la 2° fois que je constate que les manoeuvres perso disparaissent.
Quand on en a besoin, on se trouve le bec dans l'eau.
A bientôt.
GENIA
A regis59.
Ce matin, je n'arrivais même plus à ouvrir Windows XP, il a fallu que je me mette en Mode sans echec et que je restaure.
La aussi un autre problème à résoudre.
Hier , j'ai réinstallé Windows et en plus j'ai fait après un poin de restauration perso : Et bien il avait disparu ! j'ai du me contenter du seul automatique utilisable fait ce matin vers 8h 30.
Etonnant.
Peut-on parametrer cette fonction de point de restauration automatique parceque normalement, à la restauration de Windows, cela aurait déjà du se faire en automatisme.
Pour la disparition de point de restauration, c'est déjà la 2° fois que je constate que les manoeuvres perso disparaissent.
Quand on en a besoin, on se trouve le bec dans l'eau.
A bientôt.
GENIA
Bonsoir,
Je ne suis pas encore sortie d'auberge.
J'ai fait (presque tout) ce qui était demandé.
j'ai pas trouvé C:\RECYCLER (avec la fonction recherche)
Voici le nouveau rapport de RAV Antivirus :
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\RECYCLER\S-1-5-21-1390067357-2000478354-839522115-1004\Dc1.INS - Backdoor:IRC/Kirsun.A* -> Infected
C:\RECYCLER\S-1-5-21-1390067357-2000478354-839522115-1004\Dc2.exe - Trojan:Win32/KillReg.D -> Infected
C:\RECYCLER\S-1-5-21-1390067357-2000478354-839522115-1004\Dc3.dll - Backdoor:IRC/Kirsun.A* -> Infected
Ils sont toujours là les 3 solopards, mais comme ils ont déménagé dans le même dossier/régistre (C:\RECYCLER\S-1-5-21-1390067357-2000478354-839522115-1004),
Franchement, je jeterais bien les bébés avec l'eau du bain !!!!
Comment faire ?
Le nouveau rapport d'Hijack :
Logfile of HijackThis v1.99.1
Scan saved at 22:11:04, on 16/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\The Cleaner\tcm.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Tools\SECURITE\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Scan] SYSTEM.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/038cd80fdc4252cc5b05/netzip/RdxIE601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D1DAAC1D-7108-490F-AC7C-B59FDA7AA96A} (ChooseAttachedFile Class) - http://www.bvrp.fr/Tools/ASP/FORMULAIRE_SUPPORT/FR_AB/Caf.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{91214CB9-CB13-4790-99A8-98792CF96B94}: NameServer = 213.36.80.1 213.36.80.1
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A bientôt.
Cordialement.
Je ne suis pas encore sortie d'auberge.
J'ai fait (presque tout) ce qui était demandé.
j'ai pas trouvé C:\RECYCLER (avec la fonction recherche)
Voici le nouveau rapport de RAV Antivirus :
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\RECYCLER\S-1-5-21-1390067357-2000478354-839522115-1004\Dc1.INS - Backdoor:IRC/Kirsun.A* -> Infected
C:\RECYCLER\S-1-5-21-1390067357-2000478354-839522115-1004\Dc2.exe - Trojan:Win32/KillReg.D -> Infected
C:\RECYCLER\S-1-5-21-1390067357-2000478354-839522115-1004\Dc3.dll - Backdoor:IRC/Kirsun.A* -> Infected
Ils sont toujours là les 3 solopards, mais comme ils ont déménagé dans le même dossier/régistre (C:\RECYCLER\S-1-5-21-1390067357-2000478354-839522115-1004),
Franchement, je jeterais bien les bébés avec l'eau du bain !!!!
Comment faire ?
Le nouveau rapport d'Hijack :
Logfile of HijackThis v1.99.1
Scan saved at 22:11:04, on 16/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\The Cleaner\tcm.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Tools\SECURITE\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Scan] SYSTEM.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/038cd80fdc4252cc5b05/netzip/RdxIE601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D1DAAC1D-7108-490F-AC7C-B59FDA7AA96A} (ChooseAttachedFile Class) - http://www.bvrp.fr/Tools/ASP/FORMULAIRE_SUPPORT/FR_AB/Caf.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{91214CB9-CB13-4790-99A8-98792CF96B94}: NameServer = 213.36.80.1 213.36.80.1
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A bientôt.
Cordialement.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
16 mai 2005 à 23:31
16 mai 2005 à 23:31
salut re'cycled c est ta poubelle
Salut,
Je viens de vider la poubelle des 3 derniers éléments qu'elle contenait.
Ce coup-cii mes 3 parasites ont du être éjectés définitivement.
Je refais un scan pour dernier contrôle.
Merci pour tout.
J'aurais bien aimé avoir appris à faire toute seule, toutes les manoeuvres, si ce problème revenait, plutard, mais il me manque la capacité à repairer les lignes douteuses dans Hijack This.
Bon courage dans votre mission de saint-bernard.
Cordialement.
GENIA
Je viens de vider la poubelle des 3 derniers éléments qu'elle contenait.
Ce coup-cii mes 3 parasites ont du être éjectés définitivement.
Je refais un scan pour dernier contrôle.
Merci pour tout.
J'aurais bien aimé avoir appris à faire toute seule, toutes les manoeuvres, si ce problème revenait, plutard, mais il me manque la capacité à repairer les lignes douteuses dans Hijack This.
Bon courage dans votre mission de saint-bernard.
Cordialement.
GENIA
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
331
17 mai 2005 à 00:32
17 mai 2005 à 00:32
content pour toi et un petit voir un gros merci a regis
