Infecté par "BACKDOOR" ,suite a réinstalRésolu/Fermé

Question

Bonjour a qui me lira,

Le virus "BACKDOOR" a été découvert sur mon microportable,a la fois par mon antivirus ,drweb,qui n'a su le supprimer (mais a signalé : C:\volume\sony \installation  etc     ,comme localisation),et par le logiciel microsoft de suppression des logiciels malveillants ,qui indique win32/HACKdef.L ,comme localisation de la malignité ,et n'a su la supprimer également.

J'ai éssayé norman généric Fix pour désinfecter,mais le programme windows de prévention de sécurité ,l'a obligé a  se fermer(idem pour Damage cleanup ,de trendmicro ).

Que puis-je faire -merçi d'avance pour toute aide - pour éliminer la malignité ?

Regis59 · Answer

Salut

télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/demohijack.htm
	
Bon courage

A+

Regis59 · Answer

Salut logico,

D'accord mais attention ce programme est dangereux.
Utilise le comme je te l indique et ne fais rien toi meme.

A+

Regis59 · Answer

Salut logico,

Tu peux faire comme je t ai demande?

a+

Regis59 · Answer

Salut

Ok bonne demarche.
Fournit moi quand meme un HijackThis + un Smitfraudfix option 1 stp.

Pour info, la restauration systeme ne reactive pas une infection.

A+

Regis59 · Answer

Salut

Peu importe l ordre, juste deux nouveaux scans.

a+

logico · Answer

Bonjour Régis 59

Voici le rapport 1 de smitfraudfix(celui d'hijackthis suivra prochainement).MerçiSmitFraudFix v2.91

Rapport fait à  9:25:03,71, 20/11/2006
Executé à partir de C:\Program Files\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jean-pierre delbarre\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEAN-P~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

logico · Answer

Voiçi le rapport d'analyse de hijackthis 1 .Merçi RégisLogfile of HijackThis v1.99.1
Scan saved at 10:03:45, on 20/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
C:\Program Files\Eset
od32krn.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe
C:\Program Files\Utimaco\SafeGuard PrivateDisk\pdservice.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Eset
od32kui.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Sony\VAIO Launcher\Launcher.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
C:\WINDOWS\explorer.exe
C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.sony.jp/support/vaio/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [PDService.exe] C:\Program Files\Utimaco\SafeGuard PrivateDisk\pdservice.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [CleanRam] C:\Program Files\Clean Ram\cleanram.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Startup: VAIO Launcher.lnk = C:\Program Files\Sony\VAIO Launcher\Launcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin
pjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin
pjpi150_01.dll
O9 - Extra button: Internet Confidential - {0B66E346-1658-425F-870F-487D20597524} - C:\Program Files\WSKA\Internet Confidential\InternetConfidential.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/fr/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Program Files\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: KKHHTPNIFU - Unknown owner - C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\KKHHTPNIFU.exe (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcappcapd.exe" -d -f "%ProgramFiles%\WinPcappcapd.ini (file missing)
O23 - Service: RTKAHHQWLQFCXQE - Unknown owner - C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\RTKAHHQWLQFCXQE.exe (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Unknown owner - C:\Program Files\DrWeb\SpiderNT.exe (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: VAIO Entertainment Aggregation and Control Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
O23 - Service: VAIO Entertainment Task Scheduler - Sony Corporation - C:\Program Files\Sony\VAIO Entertainment\VzTaskScheduler.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\IntegratedServer\HTTP (file missing)
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway Server (file missing)
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

logico · Answer

Bonjour régis,

A tu eu le temps de jeter un coup d'oeil aux rapports (j'ai bien conscience que je ne suis pas le seul a être aidé par toi ,et que cette aide dépend bien entendu de ta disponibilité envers le forum)?

Tout est OK ?

Hier soir j'ai fait analyser complètement les disques durs par l'outil de suppression des logiciels malveillants(qui avait réagi a la présence de Backdoor )de microsoft ,version 1.18 .

Verdict : 0 infection

J'ai bien fait de prendre des initiatives circonstanciées ,en plus d'avoir sur ce forum ,venant de toi ,une offre sympathique : que je remerçie très sincèrement.

A+ Régis 59

Regis59 · Answer

Salut logico,

Désolé mais je suis tres pris cette semaine, levé tot, rentré tard et donc peu de temps a passer sur le net. Cependant, aujourd hui, je le peux. Je ne suis pas employé du forum lol

Pour les rapports, ceci me chiffone: SmitFraudFix v2.91 
Tu utilises une ancienne version du programme.Supprime la et fais ceci stp:

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

Merci pour tes messages bien sympathiques.

A+

logico · Answer

Régis j'ai trouvé un utilitaire qui pourrait être la perle rare :

Startup Inspector For Windows  version 2.11,freeware !

a l'adresse web : www.windowsstartup.com (cliquer sur download sur la page d'accueil).A lire mon rapport bloc-notes ,c'est un must!
J'aimerai que tu me dise ce que tu en pense ,après téléchargement et essai (si ça t'interesse bien entendu).

merçi pour le lien smitfraud (je ferais l'analyse après avoir sauvé mon fond de bureau ,qu'elle effacerait ).
A+

Regis59 · Answer

Salut

Je peux avoir le rapport du bloc note?

Et tu peux faire smitfraudfix?

a+

logico · Answer

Voici celui de smitfraudfix 1 ,régis.
Le second suivra (en fait le bloc note s'est ouvert après l'installation -en cliquant sur l'exe -,et c'est plutôt un répertoire ?).

SmitFraudFix v2.123

Rapport fait à 15:21:46,42, 21/11/2006
Executé à partir de C:\Program Files\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jean-pierre delbarre


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\logico\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEAN-P~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Regis59 · Answer

Salut

Quel second? LE RAPPORT est ok !
Oui c est normal qu il s est ouvert, il genere tout simplement un rapport. Non ce n est pas un repertoire.

Ou en sont tes soucis?

a+

logico · Answer

Voici le txt bloc-notes de l'utilitaire après installation.A priori ,s'il fait ce qui est dit dans ce txt  c'est un must.
Dans mes posts récents tu  a pu lire que l'infection a été éliminée.

Pourra tu me dire ce que tu pense de l'utilitaire,si tu l'utilisera ?

merçi régis

==================================================================
*** Startup Inspector for Windows *** READ ME ***  10 NOV 2003 ***
==================================================================
Last Update: 15 JAN 2005

DESCRIPTION
~~~~~~~~~~~
Startup Inspector for Windows is a Windows platform software that 
helps Windows? user to manage Windows startup applications. 

On www.windowsstartup.com, there are more than 4,900 known programs 
in the database. It can thus provide a consultative information 
on the programs that are running at your Windows startup process. 
Whether a program is necessary to the system, or the program is a 
spyware. 



It scans all programs that are in the Windows Startup Folder, 
Registry and provide you with a background information of the program.



It removes harmful programs like spyware, virus, dialers, make your 
system healthier. 



It removes unnecessary programs like reminders, monitors, improve 
your systems performance.




HOW TO USE
~~~~~~~~~~

1. Start the program from your Desktop or Start Menu>Programs>Windows 
Startup Inspector

2. Once the program has started it will load the programs in your windows' 
startup list automatically. (from Registry and Startup Folders)

3. Press the CONSULT button. This feature requires an Internet connection, 
make sure you have Internet access and allow this program to pass your
firewall. Note: this program is not a spyware, it only retrieves info
it does not send any info.

4. Once Consultation process is complete, you will notice comments appears
aside of each program, and at the bottom of the screen shows an expanded
information of each selected program.

5. Go through each program, check if it is required by its rating. 
  Rating 1 are definately not welcome, remove it, it is spyware, adware 
or even virus. 
  Rating 2 are not required programs, they are not worth to
run on startup. 
  Rating 3 are program provides certain feature, but if you
don't use it or rarely use it, why not remove it and you can always start
it manually. 
  Rating 4 are usually system programs, you should leave it along.

6. Remove the program from startup list, just Uncheck the program, by click
the square box in front of each program.

7. Now finish by press Apply button.

8. Exit Startup Inspector for Windows and Restart windows.


System Requirement
~~~~~~~~~~~~~~~~~~
Windows 98, 2000, NT, XP
Internet Explorer 4 or later
Internet Connection


Acknowledgement
~~~~~~~~~~~~~~~
All startup programs information and WSI idea are from Pacs Portal
  http://www.pacs-portal.co.uk/startup_content.htm

Some of the Graphics are come from Fooods Icons
  http://www.foood.net/icons/

Thank so much to the above people


LICENSE

~~~~~~~


Startup Inspector for Windows is Freeware. 

If you are satisfied by this little program you can always make appreciation through PayPal. Thank You for your support.


Copyright 2003 by Startup Inspector for Windows
Design and Development by William Yang
http://www.windowsstartup.com
Email: webmaster@windowsstartup.com


Il n'y a que cela de copié et collé malgré la sélection du tout.

Je m'y attendais.

A+ régis

Regis59 · Answer

Salut

Apres avoir regardé sur le site:
http://www.windowsstartup.com/wso/history.php

Cela semble etre ses signatures? Ce qui m ennuie, c est que depuis 2005, pas de nouvelles mises a jour...si j ai cherché au bon endroit bien sur.

A+

Regis59 · Answer

Re,

Peut-être le logiciel a t'il été abandonné par son concepteur (un nom différent de celui se prétendant le concepteur,et qui n'a fait que reprendre peut-être cet utilitaire ? Il est en effet proposé sur un autre site :www.programurl.com ,et un certain W.Yz Yang s'en prétend l'auteur.Mais ce site ne me dit rien qui vaille : car en cliquant sur le lien ,la page qui s'est présentée ne comportait plus de w et de s ,a windows (en haut du navigateur ,dans la bande bleue de I.E )? 

Et ce pourquoi il n'y a pas de nouvelles signatures pour l'update laisse croire que le concepteur l'aurait délaissé ? 

Oui assurrement. Si un logiciel marche, les mises a jours suivent.

A+

logico · Answer

Bonjour régis,

Je ne vais pas t'accaparer,je crois que l'on peut considèrer mon problème comme résolu.

pour l'utilitaire ,ce sont certaines fonctions qui sont(restent)interessantes.

Il y  en a un autre,pour nettoyer les clés douteuses du registre : tweaknow regcleaner.www.tweaknow.com/regcleaner.html.

C'est un freeware.

Allez ,content d'avoir eu affaire a quelqu'un de sympathique (et merçi pour ceux que tu aide,et aidera).

Cordiales salutations

Regis59 · Answer

Salut logico,

Super que ton soucis soit resolu, sinon n hesites pas.

Oui il y en a plusieurs pour supprimer les cles obsoletes du registre (regcleaner, jv16....)

Merci pour tes compliments, tu es toi aussi tres sympathique.

a+

logico · Answer

Résolution du problème :

Voir le post 6 (logico),19 du 11 ,a 11h48.
Récapitulé succintement ici.

1) verrouillage par l'antivirus drweb du fichier infecté.

2) destruction du contenu  du fichier(a priori)par nod 32 (version 1876 de cet antivirus).

En espèrant que ces précisions seront utiles a d'autres ?

Cordiales salutations

logico

Regis59 · Answer

Salut logico

Merci pour le récapitulatif, ca pourra servir

a+

logico · Answer

Bonjour a qui me lira.

Afin d'être a mon tour utile aux personnes dont le pc est infecté ,je leur suggère de se rendre sur www.zdnet.fr ,de cliquer sur l'onglet télécharger ,puis sur antivirus.

Il y a outre les outils conventionnels ,des utilitaires de désinfection pour les macro-virus ,pour le virus sasser etc etc .

Les gens qui aident ici bénévolement et avec passion pourront sans doute vous conseiller a propos de ce qu'il vous convient de faire;et dire ce qu'ils pensent de mon initiative ?

L'on dit parfois "aide toi ,et Dieu (en l'occurence les aides sur ce forum) t'aidera " .C'est probablement vrai

Merçi au webmaster,et aux passionnés

Regis59 · Answer

Salut

J aime beaucoup ton dévouement :-)
Sur zdnet, il y a les utilitaires pour les infections connues.

Sinon, les forums sont a dispositions de tout le monde pour des questions, remarques, suggestions, aides ...

"Aide toi ,et Dieu t'aidera ".

Regis59 · Answer

Salut logico,

Je ne comprends pas le sens de ta question, tu peux reformuler?

Merci

A+

logico · Answer

Bonjour régis,

Je voulais dire que la sauvegarde des documents personnels ,par -par exemple true image ,abakt ,et autres backups -,doit être suspendue en cas d'infection .

Autrement n'y a t'il pas un risque de réinfection ?

PS:ci-dessous une adresse web ,où il y a du freeware de qualité.
Dont un utilitaire de startup pouvant remplacer avantageusement celui indiqué auparavant .

www.silentnight2004.com

Bonne journée

Regis59 · Answer

Salut logico,

En effet. Prenons juste un exemple:

Acronis True Image 9 est la solution de sauvegarde et de restauration indispensable à la sécurité de vos données. Inutile de risquer de perdre des fichiers importants, ou de passer du temps à réinstaller et à reconfigurer tous vos programmes… Acronis True Image 9 vous permet de choisir entre le clonage intégral de votre PC et la sauvegarde de fichiers/dossiers spécifiques, pour un gain de temps et de sécurité maximal !

Si tu clone ton PC avec une infection et que tu remet le clone sur ton PC, la remise en marche du clonage se fera avec infection. C'est logique.

Bonne soirée

Regis59 · Answer

Salut

Mon prénom est Quentin, Regis est juste un pseudo.

Bha oui mais cela ne me derange pas de te repondre, c est instructif en plus.
Je fais passer les priorités avant mais des que j ai terminé, j ai le temps de venir ici ;-)

Bon dimanche

logico · Answer

Bonjour Régis 59,

Merçi de ton message.

Je viens de lançer une analyse hijackthis (je reçois  ce jour beaucoup de mails ,soit disant pour proposer un antivirus- drweb-,et en réalité contenant un ver : indication de mon antivirus  : n.32),par prudence.
Car pour supprimer ces messages,bloquer l'expéditeur il faut cliquer dessus (et le premier  s'ouvre !).

J'ai pu constater qu'aux lignes 04 HKML ,internet confidentiel ,et windows messenger pourtant désinstallés ,s'y trouvaient encore.
J'ai donc coché et éliminé les deux entrées.Autrement tout est OK
A+

Regis59 · Answer

Re,

D'accord. Attention au spam et au mails infectés.

A+

Infecté par "BACKDOOR" ,suite a réinstal

28 réponses

Discussions similaires

Newsletters