Version anglaiseVersion espagnoleVersion françaiseInscrivez-vous, c'est gratuit ! (mot de passe oublié)
- Vendredi 5 décembre 2008 - 01:24:17
- inscrits : 1094367
- connectés : 22965
- questions/jour : 4674
- Taux de réponse : 76.94%
Plateformes d'assistanceDiscussions & Opinions des Communautés
|
|
|
|
Statut : Non résolu
Création de répertoire automatique : virus?
cortoM, le mercredi 27 septembre 2006 à 18:56:21Bonjour,
Depuis peu, à chaque redémarrage même si je l'efface, un répertoire au nom de KVTHvQ se crée dans celui de Documents and Settings à coté des noms d'utilisateurs. A l'intérieur de ce répertoire, on retrouve : mes documents, cookies, favoris, menu démarer, Bureau comme pour les autres utilisateurs!
Deplus, sous le répertoire à mon nom, je retrouve des fichiers du type : ntuser.dat_BAK_79221 et je ne sais pas si je dois les effacer.
protection PC : Avast, Zone Alarm, Ad Aware.
Merci de votre aide.
Depuis peu, à chaque redémarrage même si je l'efface, un répertoire au nom de KVTHvQ se crée dans celui de Documents and Settings à coté des noms d'utilisateurs. A l'intérieur de ce répertoire, on retrouve : mes documents, cookies, favoris, menu démarer, Bureau comme pour les autres utilisateurs!
Deplus, sous le répertoire à mon nom, je retrouve des fichiers du type : ntuser.dat_BAK_79221 et je ne sais pas si je dois les effacer.
protection PC : Avast, Zone Alarm, Ad Aware.
Merci de votre aide.
Salut
Télécharge ceci : Lien : hijackthis Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum. @+ **tout ce que je sais, c'est que je ne sais rien ! et c'est déjà pas mal ...** |
Merci pour ton aide.
Logfile of HijackThis v1.99.1 Scan saved at 18:28:42, on 28/09/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\PRISMSTA.EXE C:\ATI-CPanel\atiptaxx.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\PROGRA~1\WINZIP\wzqkpick.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Documents and Settings\Christophe\Local Settings\Temp\wzf9e5\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WinUoe - Unknown owner - \\?\C:\Program Files\Fichiers communs\System\com4.exe (file missing) |
re
rien d'apparent ... fais le 1/ et 2/ de ce lien stp : virus methode preliminaire de desinfection version fr @+ **tout ce que je sais, c'est que je ne sais rien ! et c'est déjà pas mal ...**
|
oualalala !
je suis confuse :))) @+ **tout ce que je sais, c'est que je ne sais rien ! et c'est déjà pas mal ...**
|
Merci
J'ai donc scanné avec les étapes 1 et 2 précaunisés par Green day et effectivement d'autres Tracking et Trojans ont été trouvés. Est ce que ces 2 anti spyware sont plus efficaces que Ad Aware et Spybot search&destroy ? je n'ai pas compris la suite de vos messages : la ligne C:\PROGRA~1\WINZIP\winzip32.exe est elle a supprimer ? J'ai toujours 3 répertoires dans 'documents and settings' nommés : HVTHvQ, All Users et Default user et je ne sais pas à quoi ils servent et je n'arrive pas à les supprimer. J'attends vos commentaires. |
Salut
Est ce que ces 2 anti spyware sont plus efficaces que Ad Aware et Spybot search&destroy ? ils ne sont pas plus efficaces, mais ils se complétes ! poste les rapports stp @+ **tout ce que je sais, c'est que je ne sais rien ! et c'est déjà pas mal ...**
|
je sais , le scan en ligne est assez long ... mais j'aurais bien voulu voir ce qu'il ta trouvé ...
refais celui d'ewido stp ++ **tout ce que je sais, c'est que je ne sais rien ! et c'est déjà pas mal ...** |
Voilà...
--------------------------------------------------------- ewido anti-spyware - Scan Report --------------------------------------------------------- + Created at: 19:32:23 29/09/2006 + Scan result: HKU\S-1-5-21-1574921087-2218680996-385432088-1006\Software\Internet Security -> Adware.IntCodec : No action taken. :mozilla.20:C:\Documents and Settings\Christophe\Application Data\Mozilla\Firefox\Profiles\1mtfrary.default\cookies.txt -> TrackingCookie.247realmedia : No action taken. :mozilla.21:C:\Documents and Settings\Christophe\Application Data\Mozilla\Firefox\Profiles\1mtfrary.default\cookies.txt -> TrackingCookie.247realmedia : No action taken. C:\Documents and Settings\Christophe\Cookies\christophe@247realmedia[1].txt -> TrackingCookie.247realmedia : No action taken. C:\Documents and Settings\Christophe\Cookies\christophe@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : No action taken. :mozilla.12:C:\Documents and Settings\Christophe\Application Data\Mozilla\Firefox\Profiles\1mtfrary.default\cookies.txt -> TrackingCookie.Atdmt : No action taken. :mozilla.13:C:\Documents and Settings\Christophe\Application Data\Mozilla\Firefox\Profiles\1mtfrary.default\cookies.txt -> TrackingCookie.Bluestreak : No action taken. :mozilla.7:C:\Documents and Settings\Christophe\Application Data\Mozilla\Firefox\Profiles\1mtfrary.default\cookies.txt -> TrackingCookie.Estat : No action taken. ::Report end |
re
No action taken. il va falloir refaire le scan :) et regler ewido sur "deleted" pour qu'il te vire les saltés trouvé ! ensuite, télécharge ceci : CleanUp40 (qui élimine les fichiers temporaires + cookies : gratuit ) http://pageperso.aol.fr/Balltrap34/CleanUp40.exe tuto : (merci à Balltrap) http://pageperso.aol.fr/balltrap34/democleanup.htm fais ceci stp : Télécharge Blacklight (de F-Secure) : http://www.f-secure.com/blacklight/try.shtml et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence ;clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse @+ **tout ce que je sais, c'est que je ne sais rien ! et c'est déjà pas mal ...**
|
Le pb est que je n'arrive pas à supprimer les repertoires dans 'documents and settigs' qui ne sont pas des utilisateurs ' : HVTHvQ, All Users et Default user.
En plus, je ne sais pas quoi faire de ces fichiers : ntuser.dat_BAK_79221, ntuser.dat_BAK_71711 etc... à supprimer ? Logfile of HijackThis v1.99.1 Scan saved at 14:13:33, on 30/09/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\PRISMSTA.EXE C:\ATI-CPanel\atiptaxx.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\ewido anti-spyware 4.0\ewido.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Christophe\Mes documents\CHRISTOPHE\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WinUoe - Unknown owner - \\?\C:\Program Files\Fichiers communs\System\com4.exe (file missing) |
Le pb est que je n'arrive pas à supprimer les repertoires dans 'documents and settigs' qui ne sont pas des utilisateurs ' : HVTHvQ, All Users et Default user.
Pourquoi tu veux supprimer tout ça ?? En fait dans c:\Documentsandsettings tu dois avoir All, Default users, et le tiens (normalement) En plus, je ne sais pas quoi faire de ces fichiers : ntuser.dat_BAK_79221, ntuser.dat_BAK_71711 etc... à supprimer ? Ces fichiers sont placé dans les dossiers cités et normalement soont légitimes ...Pourquoi vouloir les supprimer ? A+ ***** Have a good day ***** |
Ok pour tout ça mais 'HVTHvQ' n'a rien à faire là !
Je le supprime et il revient ! |
C'est un dossier ?
Qu'est ce qu'il y a à l'intérieur ? Je dois m'absenter . A+ ***** Have a good day ***** |
La meme chose que les repertoires utilisateurs: cookies, favories.... |
personne ne l'aurait créé sans que tu le saches ?
***** Have a good day ***** |
:-)) mais pourquoi on ne peut le supprimer ?
|
Rien de plus que lorqu'on démarre une nouvelle session
Documents de proproétaire : mes vidéos, mes images .... Favoris : des raccourcis classiques Menu demarrer: des raccourcis de prog |
ecoute si personne n'a créé ce dossier HVTHvQ vire le en mode sans echec.
Rappel du démarrage sans echec : Redémarres le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le mode sans échec) A+ ***** Have a good day ***** |