Salut
essai davoir acces au net en mode sans echec avec prise en charge reseau
ensuite telecharge ceci
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
tu le decompresse tu double clik dessus et tu choisi l option 1
cela vas generer un rapport donne nous le

relance le et choisi cette fois l option 2 et repond oui a tous
redemarre et donne le nouveau rapport la chasse et le balltrap ma vrai passion
voir site perso dans profil

Salut,
balltrap te demande le rapport avec l option 1
et le rapport avec l option 2

bye

Salut regis heu quentin
pour kity
et fait un hijack
fait ceci
HijackThis (ici) http://www.florensac-chasse-trap.com/ section virus
section virus

telecharge le et met le dans son propre dossier ex/c :hj

clik sur do a systeme scan et save a logfile
et copier coller le rapport
demo
http://pageperso.aol.fr/balltrap34/demohijack.htm la chasse et le balltrap ma vrai passion
voir site perso dans profil

Fait ceci clik sur demarrer/executer et tape ceci
netsh winsock reset catalog
la chasse et le balltrap ma vrai passion
voir site perso dans profil

En mode netsh, la commande winsock n'existe pas, je te reprecise que j'ai windows 2000 pro comme os

Lol oui c est pour xp sp2
telecharge ceci
http://translate.google.com/translate?hl=fr&sl=en&u=http://www.cexx.org/lspfix.htm&prev=/search%3Fq%3Dlspfix%26num%3D100%26hl%3Dfr%26lr%3D%26ie%3DUTF-8
http://www.cexx.org/LSPFix.exe


Tu le lances.
Tu coches "I know what I'm doing"
Tu fais passer dans "remove" tout ce qui a trait à fltmgr.dll

Et surtout rien d'autre!
Tu cliques "finish".
la chasse et le balltrap ma vrai passion
voir site perso dans profil

Salut

imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

ad-aware (1)version 1.06
(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip spybot (2)version 1.4
(ici) section virus
voir demo

--
et aussi ceci
CleanUp40.exe(3)
voir demo

--
a2(4)

penser a le metre a jour avant de scanner le pc
-------

CWShredder
(ici)


il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next


----------------
desactive ta restauration systeme
pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------

demarre en mode sans echec
mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------


assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer
----------------------
vide tes fichiers temps et tempory internet file sur tous les utilisateur
utilise ceci pour le faire



--------------------
relance hijack coche ces lignes et ensuite clik sur fix
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\system32\webdlg32.dll
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\system32\webdlg32.dll
O2 - BHO: Pop Class - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINNT\winsx.dll



----------------------
recherche et suppr ceci
attention seulement les fichiers si tu trouve
C:\WINNT\system32\webdlg32.dll
C:\WINNT\winsx.dll





-----------------




passe adaware et vire tous se qu il trouve
----------
passe spy boot et vire tous se qu il trouvent
-------------

tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

et precise ou en sont tes soucis

avant essai de scanner se fichier ici
19 editeur d anti virus





--

--
la chasse et le balltrap ma vrai passion
voir site perso dans profil

Salut
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
tu le decompresse tu double clik dessus et tu choisi l option 1
cela vas generer un rapport donne nous le

relance le et choisi cette fois l option 2 et repond oui a tous
redemarre et donne le nouveau rapport

completer a la fin par hijack la chasse et le balltrap ma vrai passion
voir site perso dans profil

Slt
merci pour le coup de main j'ai finalement reussi à résoudre le problème en faisant ce que vous m'avez demandé et windows update.

Encore une fois merci bcp

Je doute que tous soit clean met nous les rapports la chasse et le balltrap ma vrai passion
voir site perso dans profil

Fait le fix sur toute les machine option 1 et 2
et un hijack aussi pour chaque ne melange pas les rapport des machine
et donne moi les rapports donc 3 par machine la chasse et le balltrap ma vrai passion
voir site perso dans profil

Voici les logs de la première machine

1 :

SmitFraudFix v0.7

Rapport fait à 15:32:47,79 le lun. 18/07/2005
Executé à partir de F:\Trojan\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



2:

SmitFraudFix v0.7

Rapport fait à 15:33:15,03 le lun. 18/07/2005
Executé à partir de F:\Trojan\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



3: hijack

Logfile of HijackThis v1.99.1
Scan saved at 15:31:17, on 18/07/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\image.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\ofcdog.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\WINNT\system32\internat.exe
D:\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Moniteur OfficeScanNT] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://192.168.1.4/officescan/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://192.168.1.4/officescan/clientinstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://192.168.1.4/officescan/clientinstall/setup.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://192.168.1.4/officescan/clientinstall/RemoveCtrl.cab
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: WIN32 (image) - Unknown owner - C:\WINNT\image.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Unknown owner - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

Salut voila pour le 1
desinstal dans ajout suppr de prog si tu trouve ceci
Media Gateway
imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

ad-aware (1)version 1.06
(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip spybot (2)version 1.4
(ici) section virus
voir demo

--
et aussi ceci
CleanUp40.exe(3)
voir demo

--
a2(4)

penser a le metre a jour avant de scanner le pc
-------





----------------
desactive ta restauration systeme
pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------

demarre en mode sans echec
mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------


assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer
----------------------
vide tes fichiers temps et tempory internet file sur tous les utilisateur
utilise ceci pour le faire



--------------------
relance hijack coche ces lignes et ensuite clik sur fix
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) -
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) -
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) -
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) -
O23 - Service: WIN32 (image) - Unknown owner - C:\WINNT\image.exe


----------------------
recherche et suppr ceci
attention seulement les fichiers si tu trouve
C:\Program Files\Media Gateway<==le dossier
C:\WINNT\image.exe
et regarde si tu trouve ceci met ne le suppr pas pour l instant
rdriv.sys


-----------------



passe adaware et vire tous se qu il trouve
----------
passe spy boot et vire tous se qu il trouvent
-------------

tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

et precise ou en sont tes soucis


--

--
la chasse et le balltrap ma vrai passion
voir site perso dans profil

Ok c fais, j'ai éffectivement trouver ke fichier rdriv.sys et j'ai fais la procédure comme tu me l'as dis. Que dois je faire maintenant?

Fait le analyser ici stp
rdriv.sys
19 editeur d anti virus
http://www.virustotal.com/xhtml/virustotal_en.html la chasse et le balltrap ma vrai passion
voir site perso dans profil

Voici le resultat sur virustotal.com

Antivirus Version Update Result
AntiVir 6.31.0.9 07.18.2005 no virus found
AVG 718 07.18.2005 no virus found
Avira 6.31.0.9 07.18.2005 no virus found
BitDefender 7.0 07.18.2005 Trojan.Rootkit.L
CAT-QuickHeal 7.03 07.18.2005 no virus found
ClamAV devel-20050712 07.18.2005 no virus found
DrWeb 4.32b 07.18.2005 no virus found
eTrust-Iris 7.1.194.0 07.17.2005 no virus found
eTrust-Vet 11.9.1.0 07.18.2005 no virus found
Fortinet 2.36.0.0 07.18.2005 no virus found
F-Prot 3.16c 07.18.2005 no virus found
Ikarus 2.32 07.18.2005 no virus found
Kaspersky 4.0.2.24 07.18.2005 Rootkit.Win32.Agent.p
McAfee 4537 07.18.2005 no virus found
NOD32v2 1.1171 07.18.2005 no virus found
Norman 5.70.10 07.14.2005 no virus found
Panda 8.02.00 07.18.2005 no virus found
Sybari 7.5.1314 07.18.2005 Rootkit.Win32.Agent.p
Symantec 8.0 07.17.2005 no virus found
TheHacker 5.8.2.072 07.18.2005 no virus found
VBA32 3.10.4 07.18.2005 no virus found
VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contact En español
________________________________________
www.virustotal.com :: @ Hispasec Sistemas 2004 :: e-mail info@virustotal.com

Vas ici et fait scanner le fichier il vas peut etre le virer
Scan bit defender
http://www.bitdefender.fr
clik sur scan on line a gauche et suis la procedure
la chasse et le balltrap ma vrai passion
voir site perso dans profil

J'ai plutôt fais un scan sur le site re RAV en voici le log :

Scan started at 18/07/2005 17:57:19

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\sign.exe->(UPXW)->(RARSfx)->ransy.reg - Trojan:WinREG/LowZones.O* -> Infected
C:\sign.exe->(RARSfx)->ransy.reg - Trojan:WinREG/LowZones.O* -> Infected

Scanned
============================
Objects: 14337
Directories: 752
Archives: 595
Size(Kb): 1892515
Infected files: 2

Found
============================
Viruses found: 1
Suspicious files: 0
Disinfected files: 0
Mail files: 36

Si je t est demander de le faire sur bit defender c est qu il desinfect pas rav
et pendant que tu y est supp ce fichier
C:\sign.exe la chasse et le balltrap ma vrai passion
voir site perso dans profil