Sujet Précédent Sujet Suivant

Trojan QUI REVIENNENT!?!?!?!?

Fermé
Cookinet le minou - 4 avril 2007 à 03:06
TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015 - 13 avril 2007 à 10:01
salut

depuis quelque temps j'ai telechargé des trojan (sans faire expres) avg les a bloqué et supprimé. Mais voila que 2c autres trojans débarquent dans mes temporarly internet files. Je les supprime avec avg et puis ca recommence a toutes les 30 min environ. Je trouve sa vrm gossant. aidez moi plz je pense que jai un trojan downloader ou dropper ou une autre merde comme sa.
A voir également:

19 réponses

Réponse 1 / 19
TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015 3
4 avril 2007 à 03:51
Salut,

Voici ce que tu vas faire...

Si tu n'as pas ces prog. télécharge les sur ton PC.

Programme à installer… **Important, après chaque installation il faut faire une mise à jour!** **Tu installes toutes les prog. et redémarre ton PC en mode sans échec.**

CCleaner… **Ici c’est la version avec la mise à jour… Pas besoin de mise à jour!**
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

SpyBot-Search & Destroy : gratuit en français http://www.infos-du-net.com/telecharger/Destroy-Search-Spybot,0301-324.html

Maintenant, **SUIT** cette directive **à la lettre**

1- Autorise l'affichage des fichiers et dossiers cachés, fais comme suit…
Poste de travail menu Outils - Option des dossiers onglet Affichage - Cocher Afficher les Fichiers et dossiers cachés - Décocher Masquer les fichiers protégés du système d'exploitation (recommandé) - Décocher Masquer les extensions dont le type est connu - Clique sur **Appliquer et Ok** pour valider les changements. Enregistre ces ligne qlq part dans tes dossiers, il va falloir faire le contraire après les scans. Pour remettre le tout comme au début!

2- Désactiver la restauration du système
Voici un lien pour que tu puisses voir exactement comment faire! https://blog.sosordi.net/category/astuces

3- Une fois les # 1 et 2 faits, l’installation des prog. et les mises à jour et faits, redémarre ton PC en **mode sans échec** Tu n’as qu’à tapoter F8 jusqu’attend de voir un écran noir avec une petite ligne blanche dans le haut gauche de l’écran! Ça va prendre près d’une minute (tout dépend du système que tu as) avant de voir les choix, prend le premier en haut… mode sans échec. Cette dernière opération tu devras la faire après chaque scan car il faut redémarrer ton PC après chaque scan!

1er scan avec CCleaner,
Le fonctionnement de CCleaner… Une fois le prog. ouvert!
Clic sur le 1er bouton (Nettoyage) sur ta gauche, ensuite analyse sur la droite en bas - Une fois terminer tu clic sur **Lancer le nettoyage** - Ensuite tu clic sur le bouton **erreurs** sur ta gauche et sur ta droite en bas sur celui **chercher des erreurs** - Une fois terminer clic sur le bouton en bas à droite **réparer les erreurs sélectionnées** - ***Refais cette dernière opération tant qu’il trouve de quoi. Cela peu prendre 2, 3 coups…*** - Une fenêtre va s’ouvrir, clic sur **oui** (C’est pour un backup.) Une autre fenêtre va s’ouvrir, clic sur le bouton **Corriger toutes les erreurs....** Une autre fenêtre va s’ouvrir et tu clic sur ok.- Ensuite tu clic sur fermer - Voilà c’est fait!

N’oublis pas de redémarre ton PC, en mode sans échec c’est **très Important**

2ièm scan avec Spybot S&D…
Maintenant, une fois le prog. ouvert, tu clic sur le 1ier icône sur ta droite qui est, **Search & Destroy** - Ensuite tu clic sur la loupe **Vérifier tout** - Une fois terminer il te reste plus qu’à **corriger les problèmes**, donc tu clic sur le 2ième bouton, sur le tableau de droite, et comme d’habitude dans la fenêtre qui va s’ouvrir tu clic sur OK.- Maintenant, tu clic sur le 3ième icône, **Vaccination**, une fenêtre va s’ouvrir, clic sur OK. - Dans la page d’en dessous tu va voir un carré, coche le et juste en haut tu vas voir un icône avec un gros + vert écrit **Vaccination** clic dessus. Ce que ça fait, c’est bloquer toute les entrées pour ce qu’il vient de supprimer. Voilà, tu viens de régler un bon problème…!

N’oublis pas de redémarre ton PC, en mode sans échec c’est **très Important**

3ièm scan avec AVG Anti Spyware
Le fonctionnement d’AVG AS… **Mise à jour Importante** Si ce n’est pas déjà fait!
Dans l’onglet <Etat>, le bouclier résident et les mises à jour auto, doivent être sur **Actif** - Dans l’onglet <Bouclier résident>, toutes les cases doivent **être coché** – Dans l’onglet <Analyse>, un onglet, <Paramètre> y est, dans celui-ci tu as un premier paragraphe intitulé… <Comment réagir?>. En cliquant droite avec ta souris, tu peux sélectionner l’action que tu veux entreprendre, choisis **Supprimer** - Maintenant, tjrs dans l’onglet <Analyse>, un onglet <Analyse> (Le premier) y est, clic dessus et dans cet onglet tu clic sur la première ligne qui est **Analyse complète du système** - Une fois terminé, **enregistre le rapport sous** - Sur ton bureau, ce sera plus facile d’accès pour un copie/coller du log ici. Supprime tout ce dont tu peux supprimer!

Une fois fait, n’oublis pas de redémarre ton PC, en mode sans échec c’est **très Important**

4ièm scan avec Bit Defender on-line
Enregistre ce rapport aussi (Sur ton bureau) pour le poster ici plus tard avec les autres! Supprime tout ce dont tu peux supprimer encore!

Une fois fait, n’oublis pas de redémarre ton PC, en mode sans échec c’est **très Important**

Pour terminer, télécharge HijackThis. C’est un Outil de diagnostic et de réparation. Voici le lien…
http://telechargement.zebulon.fr/138-hijackthis-1991.html

Dé zippe le dans un dossier prévu à cet effet, sur ton bureau.

Par exemple C:\hijackthis **Enregistre le bien dans C:\>**

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le - Puis clique sur "Do a system scan and save logfile"
Enregistre le rapport sur ton bureau : En haut à gauche du rapport, tu as l’onglet fichier – Clic dessus et fait - **Enregistrer sous** - Et dans la nouvelle fenêtre tu choisis l’emplacement… **Bureau** (C’est plus facile pour le retrouver ;o) - Clic OK

Après, fais un copier/coller du rapport en entier sur le forum.

Une fois fait, n’oublis pas de redémarre ton PC, en mode normal c’est **très Important**

N'oublis pas de faire le contraire des numéros 1 et 2 du présent tutorial!

Bon courage et soit patient...!

TropJean ;o)

0
Réponse 2 / 19
TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015 3
4 avril 2007 à 04:06
Re,

Après avoir relus ce que je t'ai envoyé, je dois faire une correction sur la fin avec le prog. HijackThis et Bit Defender...

Tu ne pourras pas le télécharger ni faire un scan on-line en mode sans échec!!!

Pendant que tu es sur le net encore!?!? Télécharge le maintenant, ça va t'éviter des redémarrages pour rien et surtout du temps!!!
Voici le lien... http://telechargement.zebulon.fr/138-hijackthis-1991.html

Et pour Bit Defender fais le scan en dernier de tout car tu auras besoin de ta connexion internet! Voici le lien... https://www.bitdefender.fr/

Désolé du trouble :o(

TropJean ;o)
0
Cookinet le minou
4 avril 2007 à 06:37
j'ai fini tout ce que tu m'as dit

voici les rapports:

avg as:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 23:54:10 2007-04-03

+ Résultat de l'analyse:



C:\downloads\AgeOfCastles_Setup-dm.exe -> Adware.Trymedia : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@247realmedia[1].txt -> TrackingCookie.247realmedia : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@2o7[2].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@amazonsearsca.122.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@cn.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@msnaccountservices.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@msnportal.112.2o7[2].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@snagajob.122.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@workopolis.122.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Anthony\Cookies\anthony@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael et amélie@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael et amélie@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael et amélie@sonycanada.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael_et_amélie@2o7[2].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Mimi\Cookies\mimi@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael_et_amélie@adjuggler[1].txt -> TrackingCookie.Adjuggler : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@adtech[1].txt -> TrackingCookie.Adtech : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael et amélie@adtech[2].txt -> TrackingCookie.Adtech : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@advertising[1].txt -> TrackingCookie.Advertising : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\Anthony\Cookies\anthony@atdmt[1].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael et amélie@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\Mimi\Cookies\mimi@atdmt[1].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael_et_amélie@casalemedia[1].txt -> TrackingCookie.Casalemedia : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@promo.casinotropez[1].txt -> TrackingCookie.Casinotropez : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael_et_amélie@promo.casinotropez[1].txt -> TrackingCookie.Casinotropez : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael_et_amélie@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael et amélie@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@fastclick[2].txt -> TrackingCookie.Fastclick : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael_et_amélie@fastclick[1].txt -> TrackingCookie.Fastclick : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael_et_amélie@media.fastclick[2].txt -> TrackingCookie.Fastclick : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@ehg-bellcanada.hitbox[1].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@ehg-ctv.hitbox[2].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@ehg-telecomitalia.hitbox[2].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@ehg-wmc.hitbox[1].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@ehg-yellowpages.hitbox[2].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@hitbox[1].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael_et_amélie@ehg-youtube.hitbox[2].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael_et_amélie@hitbox[1].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@counter.hitslink[1].txt -> TrackingCookie.Hitslink : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@sales.liveperson[3].txt -> TrackingCookie.Liveperson : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@server.iad.liveperson[1].txt -> TrackingCookie.Liveperson : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@mediaplex[1].txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael et amélie@mediaplex[1].txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@perf.overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael et amélie@perf.overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@questionmarket[2].txt -> TrackingCookie.Questionmarket : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael_et_amélie@revenue[2].txt -> TrackingCookie.Revenue : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael et amélie@h.starware[1].txt -> TrackingCookie.Starware : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael et amélie@try.starware[1].txt -> TrackingCookie.Starware : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@statcounter[2].txt -> TrackingCookie.Statcounter : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael et amélie@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Aucune action entreprise.
C:\Documents and Settings\Mimi\Cookies\mimi@tribalfusion[2].txt -> TrackingCookie.Tribalfusion : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael et amélie@valueclick[1].txt -> TrackingCookie.Valueclick : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@web-stat[2].txt -> TrackingCookie.Web-stat : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@weborama[1].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael_et_amélie@weborama[1].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Aucune action entreprise.
C:\Documents and Settings\Alain\Cookies\alain@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
C:\Documents and Settings\Michael et Amélie\Cookies\michael_et_amélie@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.


Fin du rapport





et l'autre:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:29:40, on 2007-04-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\downloads\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {57E218E6-5A80-4f0c-AB25-83598F25D7E9} - C:\WINDOWS\system32\nggtbpnw.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {B8A1876E-B168-465F-ADE8-AB6B6FCEBE99} - C:\WINDOWS\system32\qommnml.dll
O2 - BHO: (no name) - {EF6A9081-6478-4D2D-AAB0-F4E2D06E120c} - C:\WINDOWS\system32\bstektta.dll
O2 - BHO: (no name) - {F9EA78BB-9B55-4CC8-B400-F20A3A5E6C39} - C:\WINDOWS\system32\pmnll.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\nenishwu.dll",setvm
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Catalyst System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCYYYYYYYYCA
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - Winlogon Notify: pmnll - C:\WINDOWS\system32\pmnll.dll
O20 - Winlogon Notify: qommnml - C:\WINDOWS\SYSTEM32\qommnml.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
0
Réponse 3 / 19
TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015 3
4 avril 2007 à 08:18
Re,

As tu fais un scan avec CCleaner? Et Spybot? Tu ne serais pas sensé d’avoir autant de cookies si tu aurais fais un scan avec ces prog…! Anyway!

En attendant le rapport de **Bit Defender**… Je vais analyser ton log de HijackThis. Mais toi fait ceci… **Comme Suit** (Copie/colle ds notepad ce qui suit, tu en auras besoin)

Refais un scan avec HJT en mode sans échec – Clic sur **Do a scan only** - Une fois le scan terminé, coche les cases suivantes. - Puis clic sur **Fix checked**

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCYYYYYYYYCA

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe

Pour éliminer ctfmon.exe au démarrage: comme celle-ci… O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
Tu fais comme suit

Panneau de configuration - Options régionales et linguistiques - Langues - Détails - Barre de langue - Cocher la case **Arrêtez les services de texte avancés**

Au prochain démarrage il n’apparaîtra plus mais sera fonctionnel quand tu en auras de besoin…

Mises à jour à faire…
Tu as les programmes Adobe\Acrobat 7.0\Reader et Adobe\Acrobat 7.0\ActiveX … Ils sont rendus à la 8ièm pour ‘Reader’ Voici un lien pour la mise à jour mais surtout pour de l’infos concernant ces programmes…! Ça va aider encore plus ta cause ;o)
Adobe: https://www.adobe.com/support/security/bulletins/apsb06-20.html Le lien est pendant la lecture.

ActiveX V.9 d’adobe https://get.adobe.com/flashplayer/

Je te reviens demain avec le reste de l’analyse…

P.S. Pour demain… Log/Rapport de Bit Defender et un nouveau de HijackThis après la suppression des lignes mentionné plus haut!

Merci encore et bonne nuit aussi!

TropJean ;o)
0
cookinet le minou
4 avril 2007 à 18:28
voici ce ke tu veu:

BitDefender Online Scanner



Scan report generated at: Wed, Apr 04, 2007 - 09:34:16





Scan path: A:\;C:\;D:\;E:\;F:\;G:\;H:\;







Statistics

Time
01:41:30

Files
568952

Folders
8596

Boot Sectors
2

Archives
2845

Packed Files
41898




Results

Identified Viruses
3

Infected Files
3

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
2




Engines Info

Virus Definitions
417447

Engine build
AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)

Scan plugins
14

Archive plugins
38

Unpack plugins
6

E-mail plugins
6

System plugins
1




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\WINDOWS\system32\nenishwu.dll
Infected with: Trojan.Virtumod.JB

C:\WINDOWS\system32\nenishwu.dll
Disinfection failed

C:\WINDOWS\system32\nenishwu.dll
Deleted

C:\WINDOWS\system32\qommnml.dll
Infected with: MemScan:Trojan.Vundo.AJ

C:\WINDOWS\system32\qommnml.dll
Disinfection failed

C:\WINDOWS\system32\qommnml.dll
Delete failed

C:\WINDOWS\system32\xuylyqiy.dll
Infected with: Trojan.Spy.VBStat.B

C:\WINDOWS\system32\xuylyqiy.dll
Deleted







et le highjack:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:19:53, on 2007-04-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\downloads\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {41C50642-1C27-4E95-AF6B-70449DE1E0B8} - C:\WINDOWS\system32\geebb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {57E218E6-5A80-4f0c-AB25-83598F25D7E9} - C:\WINDOWS\system32\nggtbpnw.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {B8A1876E-B168-465F-ADE8-AB6B6FCEBE99} - C:\WINDOWS\system32\qommnml.dll
O2 - BHO: (no name) - {EF6A9081-6478-4D2D-AAB0-F4E2D06E120c} - C:\WINDOWS\system32\bstektta.dll (file missing)
O2 - BHO: (no name) - {F9EA78BB-9B55-4CC8-B400-F20A3A5E6C39} - C:\WINDOWS\system32\pmnll.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\nenishwu.dll",setvm
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Catalyst System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - Winlogon Notify: geebb - C:\WINDOWS\system32\geebb.dll
O20 - Winlogon Notify: pmnll - C:\WINDOWS\system32\pmnll.dll (file missing)
O20 - Winlogon Notify: qommnml - C:\WINDOWS\SYSTEM32\qommnml.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
0
cookinet
4 avril 2007 à 22:31
je pense que j'ai trouvé pourquoi sa fait sa

en revenant de lécole je fait un scan sur spybot et la je voit smithfraud-c toolbar888 (j'en ai entendu parler en recherchant sur google). Je fait corriger les erreurs et ils recmmencent à revenir (les tojan) comment faire pour le supprimer pour toujours.

ps les dossiers ecrits sont:

Smitfraud-C.Toolbar888: Réglages (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-1644491937-507921405-682003330-1004\Software\Microsoft\aldd

Smitfraud-C.Toolbar888: Réglages utilisateur (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-1644491937-507921405-682003330-1004\AtlMon.ReusableComp.5
0
TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015 3
5 avril 2007 à 14:45
Re,

Désolé du temps de réponse je travaillais hier… Mais pas aujourd’hui!

Besoin de réponse S.V.P.
Question1… Combien de personnes ont accès à cet ordi?
Question2… <je fait un scan sur spybot et la je voit smithfraud-c toolbar888> Spybot ne les a pas supprimé???

Question3… Quels sont tes logiciels de sécurité perso?
Anti Virus…
Anti Spyware…
Firewall/Par-feu…

Avant de poursuivre, J’aimerais que tu me répondre sur ces questions pour me permettre d’accélérer les recherches… Merci beaucoup ;o)

<Je fait corriger les erreurs et ils recmmencent à revenir (les tojan) comment faire pour le supprimer pour toujours.> C’est ce que nous allons faire ensemble…! Commence avec ça.

C’est celui que BitD n’a pas réussi à supprimer

C:\WINDOWS\system32\qommnml.dll
Infected with: MemScan:Trojan.Vundo.AJ

C:\WINDOWS\system32\qommnml.dll
Disinfection failed

C:\WINDOWS\system32\qommnml.dll
Delete failed

Refais seulement les # 1 & 2 de mon 1 er poste et ce qui suit…

Refais un scan avec HJT en mode sans échec – Clic sur **Do a scan only** - Une fois le scan terminé, coche les cases suivantes. - Puis clic sur **Fix checked**

O2 - BHO: (no name) - {57E218E6-5A80-4f0c-AB25-83598F25D7E9} - C:\WINDOWS\system32\nggtbpnw.dll (file missing)

O2 - BHO: (no name) - {B8A1876E-B168-465F-ADE8-AB6B6FCEBE99} - C:\WINDOWS\system32\qommnml.dll

O20 - Winlogon Notify: qommnml - C:\WINDOWS\SYSTEM32\qommnml.dll

Après, redémarre en **mode sans échec mais réseau**… C’est le 2ièm!
Si tu n’es pas capable fais le scan en mode normal!

Va sur BitD. Et juste avant de faire le scan il va y avoir un onglet prénommé **Scanning Option** - Ds ce paragraphe <Select what you want to check for viruses> clic sur click here – Ds la nouvelle fenêtre tu tout ce que BitD. Scan ds ton PC – Si *Mon bureau* est coché, décoche le – Ensuite coche seulement celui avec ceci (C:) à la fin de la ligne ou au début… C’est lui qui a le virus, c’est lui que nous allons scanner et sauver du temps…! ;o) – Click OK et clic le bouton pour commencer le scan!

Enregistre le rapport et redémarre en mode sans échec seulement et tu me refais un scan de HJT aussi…

Reposte le tout ici et entre temps je vais attendre tes réponses!

Merci de ta patience…

À:\+

TropJean ;o)
0
Cookinet > TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015
5 avril 2007 à 23:04
reponse 1 : 3 la semaine , 5 la fin de semaine

reponse 2 : non je crois pas

reponse 3 : Anti Virus : AVG free edition
Anti Spyware : Spybot, AVG as et tous ceux que tu m'as demandé de dl
Firewall/Par-feu : pare feu windows?
0
TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015 3 > TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015
6 avril 2007 à 00:38
Re,

Merci pour tes réponses.

Nous y reviendrons après que tu es fait exactement ce que Did71 et Lyonnais92 disent et il y a de forte chance que ça marche...

C'est ce que j'aime des forums... Il y a tjrs qlq'un qlq part pour t'aider! ;o)

J'attend les rapports comme eux et t'inquiète l'un d'eux pourras t'aider si jamais je ne peux lire le log!

Tu n'es pas inscrit?!?!? C'est bien de partager ses expériences avec la communauté du forum! ;o)

À:\+

TropJean ;o)
0
Réponse 4 / 19
cookinet
5 avril 2007 à 04:35
up
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
5 avril 2007 à 23:10
Bonsoir Cookinet, (tu pourrais t'inscrire sur le forum!!)

Pour faire avancer!

* Télécharge VundoFix.exe (par Atribune) sur ton Bureau:

http://www.atribune.org/public-beta/VundoFix.exe

* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".


a+
0
Réponse 6 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
5 avril 2007 à 23:15
Bonsoir,

les infections Vundo Virtumonde ne sont pas éradiquées par les antispy ou par suppression. Il y a 2 outils, vundofix et Virtumundobegone.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Note Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Bonne suite.

0
Réponse 7 / 19
Cookinet
6 avril 2007 à 01:20
vundo a rien trouvé

voici mon hjt:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:05:27, on 2007-04-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\downloads\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {22C06E78-2779-4B28-8FCE-D8A2DC3314A2} - (no file)
O2 - BHO: (no name) - {41C50642-1C27-4E95-AF6B-70449DE1E0B8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {EF6A9081-6478-4D2D-AAB0-F4E2D06E120c} - (no file)
O2 - BHO: (no name) - {F9EA78BB-9B55-4CC8-B400-F20A3A5E6C39} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Catalyst System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: geebb - C:\WINDOWS\system32\geebb.dll (file missing)
O20 - Winlogon Notify: pmnll - C:\WINDOWS\system32\pmnll.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
0
Réponse 8 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
6 avril 2007 à 01:24
Re,

j'insiste,

reboote l'ordi puis relance vundofix.

@+
0
Cookinet
6 avril 2007 à 01:36
VundoFix V6.3.19

je l'ai restarté et je lai refait en mode sans echec et il n'a rien trouvé non plus

la preuve:

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 19:13:58 2007-04-05

Listing files found while scanning....

No infected files were found.
0
TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015 3
6 avril 2007 à 08:56
Re,

Aussi ridicule que cela puisse parraître...

Clic droite sur Vondofix - Clic renommé/rename - Renomme le abcd - refais un scan avec maintenant!

Refais la même procédure ci haut mentionné avec HJT...

Enregistre les rapports et copie/colle les ici

Merci de ta patience!

À:\+

TropJean ;o)
0
Cookinet > TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015
6 avril 2007 à 16:50
il na rien trouvé encore

mon hjt: Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:05:27, on 2007-04-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\downloads\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {22C06E78-2779-4B28-8FCE-D8A2DC3314A2} - (no file)
O2 - BHO: (no name) - {41C50642-1C27-4E95-AF6B-70449DE1E0B8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {EF6A9081-6478-4D2D-AAB0-F4E2D06E120c} - (no file)
O2 - BHO: (no name) - {F9EA78BB-9B55-4CC8-B400-F20A3A5E6C39} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Catalyst System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: geebb - C:\WINDOWS\system32\geebb.dll (file missing)
O20 - Winlogon Notify: pmnll - C:\WINDOWS\system32\pmnll.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
0
TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015 3 > TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015
7 avril 2007 à 08:09
Re,

Salut à tous, voici des résultats qui va arrêter le jeu du chat et de la souris…

Nous avons commencé le trv avec AVG-AS qui nous a trouvé des cookies! et confirmé... pas de Spy!

HJT qui nous a apporté des lignes suspectes…

Mais ou BitD est devenus un gros matou…
Scanned File
Status

C:\WINDOWS\system32\nenishwu.dll<--
Infected with: Trojan.Virtumod.JB<--

C:\WINDOWS\system32\nenishwu.dll
Disinfection failed

C:\WINDOWS\system32\nenishwu.dll<--
Deleted<--

C:\WINDOWS\system32\xuylyqiy.dll
Infected with: Trojan.Spy.VBStat.B

C:\WINDOWS\system32\xuylyqiy.dll
Deleted

Il en a une qui a réussi à glisser sous ces griffes!!

C:\WINDOWS\system32\qommnml.dll<--
Infected with: MemScan:Trojan.Vundo.AJ<--

C:\WINDOWS\system32\qommnml.dll
Disinfection failed

C:\WINDOWS\system32\qommnml.dll<--
Delete failed<--

Mais HJT étais là, vaillant!

O2 - BHO: (no name) - {B8A1876E-B168-465F-ADE8-AB6B6FCEBE99} - C:\WINDOWS\system32\qommnml.dll

O20 - Winlogon Notify: qommnml - C:\WINDOWS\SYSTEM32\qommnml.dll

Spybot a fait de bonnes trouvailles et déstabilisé le virus…

Smitfraud-C.Toolbar888: Réglages (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-1644491937-507921405-682003330-1004\Software\Microsoft\aldd

Smitfraud-C.Toolbar888: Réglages utilisateur (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-1644491937-507921405-682003330-1004\AtlMon.ReusableComp.5

La petite souris commençais à avoir la trouille, alors elle changea de nom en espèrent ne pas se faire reconnaître…!

BitD le gros matou a vus clair ds son jeu…

C:\WINDOWS\system32\bsayiojn.dll<--
Infected with: Trojan.Virtumod.JB<--

C:\WINDOWS\system32\bsayiojn.dll
Disinfection failed

C:\WINDOWS\system32\bsayiojn.dll<--
Deleted<--

Cette fois si elle n’a pus s’échapper des griffes du gros matou BitD.

Notre Vaillant HJT nous a montré le tableau final…

O2 - BHO: (no name) - {22C06E78-2779-4B28-8FCE-D8A2DC3314A2} - (no file)
O2 - BHO: (no name) - {41C50642-1C27-4E95-AF6B-70449DE1E0B8} - (no file)
O2 - BHO: (no name) - {EF6A9081-6478-4D2D-AAB0-F4E2D06E120c} - (no file)
O2 - BHO: (no name) - {F9EA78BB-9B55-4CC8-B400-F20A3A5E6C39} - (no file)
Et rien ds le 020… C’est pour dire…!

Pour que le tout soit bien confirmé, 2 âmes charitables nous ont présenté le matou de la situation… VundoFix!

Après avoir donné 3 petite tapes d’encouragement ;o) VundoFix nous a finalement apporté la confirmation que la/les souris sont belle et bien passé entre les dents du gros matou BitD.

En attendant le rapport pour vérification de eScan Antivirus Toolkit… Est ce si dur de croire que BitD a fait tout le boulot? ;o) Je me dis… Vaut mieux prévenir que guérir…! Et pour cause…

Cookinet, voilà la réponse à ta question… <ps: pourquoi il fallait le renommer?> (VundoFix et HJT)

Regarde et lis ATTENTIVEMENTVirus/Fichiers!

1 er scan de BitD…

Lui a été supprimé
C:\WINDOWS\system32\nenishwu.dll
Infected with: Trojan.Virtumod.JB

C:\WINDOWS\system32\nenishwu.dll
Disinfection failed

C:\WINDOWS\system32\nenishwu.dll
Deleted

Mais pas lui
C:\WINDOWS\system32\qommnml.dll
Infected with: MemScan:Trojan.Vundo.AJ

C:\WINDOWS\system32\qommnml.dll
Disinfection failed

C:\WINDOWS\system32\qommnml.dll
Delete failed

Regarde bien les 2 noms des virus et les 2 noms des fichiers!!!!

Maintenant regarde le nom du fichier que HJT a vu
O2 - BHO: (no name) - {B8A1876E-B168-465F-ADE8-AB6B6FCEBE99} - C:\WINDOWS\system32\qommnml.dll

O20 - Winlogon Notify: qommnml - C:\WINDOWS\SYSTEM32\qommnml.dll

HJT confirme que BitD n’a pas supprimé le fichier… Tu me suis tjrs?

Tu as fais un scan avec Spybot et il a trouvé des toolbar888… Excellente idée!!! (Sans que tu le sache ;o) Tu as ébranlé le virus et voici pquoi…

Tu as installé VundoFix sur ton PC… Le Trojan.Vundo la vus!!! Lis la suite c’est là que ça devient intéressant…

Regarde bien le nom du virus et le nom du fichier ici. C’est le 2ièm scan de BitD.

C:\WINDOWS\system32\bsayiojn.dll
Infected with: Trojan.Virtumod.JB

C:\WINDOWS\system32\bsayiojn.dll
Disinfection failed

C:\WINDOWS\system32\bsayiojn.dll
Deleted

Maintenant regarde bien le (1 er) nom du virus/fichier supprimé ds le 1 er scan de BitD et le nom du virus/fichier qui n’a pus supprimer. Et vient refaire la même chose ici…

Le nom du virus ds le 2ièm scan est le même que celui supprimé ds le 1 er scan mais différent nom de fichier virulent!

VundoFix est un anti virus pour le virus Trojan VundoHiJackThis est un programme qui nous permet de voir (ds la mesure du possible) les fichiers virulent!

En les changeant de nom, tu déstabilises le virus, car il ne s’attend pas à ce que ça soit un scan contre lui… Faut jamais oublier qu’un virus (Surtout Trojan) ça a une intelligence virtuelle et qui reconnaît presque tout les dossiers. Donc, si tu changes le nom de ces 2 PC scanner il ne les reconnaît pas et reste bien en place sans bouger et on l'attrape où il fuit et change de nom…!

Il a fuit (virus) et changer de nom… Si il aurait gardé le nom de Vundo, BitD n’aurais rien pus faire… Pour cette dernière phrase c'est la seule logique possible! Pour le reste c’est la raison principale! Long comme réponse (je sais) mais c’est clair ;o)

OK. Maintenant je vais t’écrire un tutorial pour protéger ton PC… Ce qui doit être fait d’urgence et le lendemain, le reste… Si tu comprends l’anglais un peu, le log que tu nous a posté de VundoFix, est clair sur ce qui doit être supprimé de ton PC…

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Je mets un bémol iciTu dois savoir que toutes infos aussi insignifiante qu’elle peut être pour toi ne les probablement pas au yeux des spécialistes, tu dois les poster!!!! Nous avons eu une indication que des dossiers sont susceptibles d’être attaqué par n’importe qui… En fait je vais être plus clair… Ton/tes virus, c’est sûrement à cause de ces fichiers qui traînent ds ton PC! Une porte grande ouverte!

Qlq’un sur ce forum ma dit un jour que si mes programmes n’était pas à jour, je donnais l’occasion à n’importe qui d’avoir accès à mon ordis. Les mises à jour sont fait en fonction des failles qui ce retrouve dans les programmes antérieurs! … Je donne au prochain! ;o)

Donc, après le rapport pour vérification de eScan Antivirus Toolkit, Fait ceci… Tjrs en mode sans échec, tu fais un scan de HJT – Do a scan only – coche les lignes suivante et clic sur Fix checked. Je te reviens avec mon tutorial…

O2 - BHO: (no name) - {22C06E78-2779-4B28-8FCE-D8A2DC3314A2} - (no file)

O2 - BHO: (no name) - {41C50642-1C27-4E95-AF6B-70449DE1E0B8} - (no file)

O2 - BHO: (no name) - {EF6A9081-6478-4D2D-AAB0-F4E2D06E120c} - (no file)

O2 - BHO: (no name) - {F9EA78BB-9B55-4CC8-B400-F20A3A5E6C39} - (no file)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

Ton PC doit être vraiment long à ouvrir?

Je te reviens avec le reste et désolé mais tout ce qui s’appel Toolbar/barre de recherche devrait disparaître de ce PC… Je t’expliquerais pquoi ds le prochain poste!

P.S. N'oublis pas de poste un nouveau rapport de HJT apprès les suppressions! Merci ;o)

La fin est très très proche!

À:\+

TropJean ;o)
0
Réponse 9 / 19
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
7 avril 2007 à 00:12
Bonsoir à tous,

j'ai du mal à croire que les fichiers infectés ont été supprimés sans vundofix!

Enfin, ils ne sont plus présents, c'est l'essentiel!!!

Pour vérification!

Étape 1:
Télécharge eScan Antivirus Toolkit ici:

http://www.spywareinfo.dk/download/mwav.exe

Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur


Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

a+
0
Réponse 10 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
7 avril 2007 à 11:10
Bonjour à tous,

comme Did, je suis plus que sceptique sur ces vundo qui disparaissent sans Vundofix (ou Virtumundobegone).

Cookinet, qui a eu accès au micro jeudi entre 17h10 et 19h (heure de chez toi, car il y a 6 heures de décalage, ce que l'on peut voir en comparant l'heure de passage d'un outil et l'heure mentionnée sur le post : heure locale et heure de Paris) ? 2 heures, c'est largement suffisant pour télécharger vundofix, l'exécuter et nettoyer l'ordi du fix et des fichiers créés.

Tropjean, dans ta présentation au post 20, quelque chose cloche :

Bit defender supprime les 2 fois un trojan Trojan.Virtumod.JB. A aucun moment, on ne voit la suppression du trojan Trojan.Vundo.AJ . C'est lui que, à mon avis, un passage "clandestin" de Vundofix a éradiqué.

Au-delà de la métaphore, un malware ne "voit" pas l'outil. A sa création, un certain nombre de modifications sont faites dans le registre pour interdire l'exécution de certains programmes (soit par le nom soit par l'extension). Un outil modifié peut "franchir" la barrière car non-conforme à l'interdit. Ce n'est pas l'intelligence du malware qui est en cause. C'est au contraire sa "bêtise". Il ne peut pas s'adapter (en tout cas pas ceux-là).

Quelque soit la réponse de Cookinet, quelqu'un a fait tourner Vundofix sur l'ordi dans la plage de temps donné. Si ce n'est pas un des 5 qui ont légitimement accès à l'ordi, c'est qu'on a un ordi zombi contrôlé à distance. Dans ces cas le formatage s'impose. Cette perspective devrait favoriser l'émergence de la vérité.

Bonne journée à tous.

0
Réponse 11 / 19
TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015 3
7 avril 2007 à 15:58
Bonjour à tous,

<comme Did, je suis plus que sceptique sur ces vundo qui disparaissent sans Vundofix (ou Virtumundobegone).> Je le suis autant que vous!

<Cookinet, qui a eu accès au micro jeudi entre 17h10 et 19h (heure de chez toi, car il y a 6 heures de décalage, ce que l'on peut voir en comparant l'heure de passage d'un outil et l'heure mentionnée sur le post : heure locale et heure de Paris) ?> C’est exact!
<2 heures, c'est largement suffisant pour télécharger vundofix, l'exécuter et nettoyer l'ordi du fix et des fichiers créés.> Tjrs d’accord!

<Tropjean, dans ta présentation au post 20, quelque chose cloche :> Je sais mais…

<Bit defender supprime les 2 fois un trojan Trojan.Virtumod.JB. A aucun moment, on ne voit la suppression du trojan Trojan.Vundo.AJ .> Je sais et c’est la seule logique possible que je voyais... Ma théorie!

<C'est lui que, à mon avis, un passage "clandestin" de Vundofix a éradiqué.> Au moment de l’installation de VundoFix et de le faire tourner, 3 persos avait accès au PC (Jeudi – semaine)
Alors pour savoir ce qui c’est passer, une question s’impose!

Cookinet, est ce qui a qlq’un à part toi, qui a accès aux infos de nos post et qui peut avoir fait tourner VundoFix à ta place sans que tu y sois pour enregistrer le log?

<Au-delà de la métaphore, un malware ne "voit" pas l'outil.> Pquoi que j’ai lus que le Trojan pouvait changer la taille du dossier, d’image et changer de nom pour ne pas se faire remarquer???
<A sa création, un certain nombre de modifications sont faites dans le registre pour interdire l'exécution de certains programmes (soit par le nom soit par l'extension).> Dont VF et HJT!
<Un outil modifié peut "franchir" la barrière car non-conforme à l'interdit. Ce n'est pas l'intelligence du malware qui est en cause. C'est au contraire sa "bêtise". Il ne peut pas s'adapter (en tout cas pas ceux-là).> Pour l’intelligence du malware, c’est-ce que je disais… Virtuelle… Avec ces failles! loll

<Quelque soit la réponse de Cookinet, quelqu'un a fait tourner Vundofix sur l'ordi dans la plage de temps donné. Si ce n'est pas un des 5> (Heu… 3 en semaine) qui ont légitimement accès à l'ordi, c'est qu'on a un ordi zombi contrôlé à distance. Dans ces cas le formatage s'impose. Cette perspective devrait favoriser l'émergence de la vérité.

Calmons nous un peu!!! Attendons le rapport de eScan… La réponse de Cookinet et de là, nous allons voir ce que nous allons faire! Je continus à croire que le virus n’est plus et après le rapport (eScan) je vais l’aider à mieux se protéger!

À défaut… Les grands moyens pour les grands maux. Nous reformaterons!

Merci des spéciifications Lyonnais, c'est très apprécié ;o)

À:\+

TroJean ;o)
0
Réponse 12 / 19
Cookinet
8 avril 2007 à 02:54
File C:\Documents and Settings\Anthony\Application Data\SecuROM\UserData\???????????p????????? infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Anthony\Application Data\SecuROM\UserData\???????????p????????? infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Documents and Settings\Anthony\Bureau\Raccourcis Bureau non utilisés\SmitfraudFix\Reboot.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.
File C:\Documents and Settings\Anthony\Bureau\Raccourcis Bureau non utilisés\SmitfraudFix.exe tagged as not-a-virus:RiskTool.Win32.Reboot.f. No Action Taken.
0
Réponse 13 / 19
TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015 3
8 avril 2007 à 06:28
Re,

As-tu déjà eu un prog du nom de secuROM? Pose la question à ton entourage S.T.P!

Voici de l’info et des choses à faire

J’ai été voir sur Google ce que c’est ‘secuROM’ Il y a des tests et de l’infos c’est un 1 er pas…
https://www.generation-nt.com/

Maintenant, **SUIT** cette directive **à la lettre**

1- Autorise l'affichage des fichiers et dossiers cachés, fais comme suit…
Poste de travail menu Outils - Option des dossiers onglet Affichage - Cocher Afficher les Fichiers et dossiers cachés - Décocher Masquer les fichiers protégés du système d'exploitation (recommandé) - Décocher Masquer les extensions dont le type est connu - Clique sur **Appliquer et Ok** pour valider les changements. Enregistre ces ligne qlq part dans tes dossiers, il va falloir faire le contraire après les scans. Pour remettre le tout comme au début!

2- Désactiver la restauration du système
Voici un lien pour que tu puisses voir exactement comment faire! https://blog.sosordi.net/category/astuces

3- OK. Maintenant essais ça
Démarré – Poste de trv – disque C : <-- Documents and settings – Anthony – Application data – Le dossier SecuROM, tu le vois? – User data - ???????????p????????? – Je ne pense pas que tu puisses le voir mais… le vois tu? Si oui, essais de le supprimer manuellement – Sinon... Essais de supprimer le dossier (au complet!!!) de secuROM manuellement – Si cela a fonctionné ou rien de tout ça n’a fonctionné…

Essais ça…
4- Ouvre CCleaner
Clic sur **outils** - Delà, tu as 2 choix ds le tableau de droite, programme de désinstallation et démarrage. Tu te retrouves déjà sur la page du prog de désinst. – Si tu vois secuROM essais de supprimer – clic sur **lancer la désinstallation** 1 er bouton à droite – Ensuite clic sur démarrage – Même chose ici… Si tu vois secuROM essais d’effacer l’entrée – clic sur **effacer l’entrée** le bouton est en bas…

Si rien de tout cela n’a fonctionné

5- Essais ça
Démarré – Search/Rechercher – Clic sur **tout dossiers et fichiers/all files & folders** – Ds le 1 er rectangle blanc, ou ton curseur clignote, écrit **secuROM** - Avec ta souris descend la barre grise sur la droite du rectangle jusqu’à temps que tu vois un autre rectangle mais ou tu as une invite à choisir ds ql disque dur tu veux faire ta recherche. **Choisi le C :** - Tu descend encore la barre grise pour cliquer sur **Plus d’option/More advanced options** - Ds le rectangle ou c’est écrit Type of files, il devrais déjà être sur l’onglet **All files & folders** À défaut place le sur cet onglet – Ensuite toutes les cases en dessous de ce rectangle se **doivent d’être coché** - Pour terminer, clic sur le bouton **search/recherche** et attend qu’il termine sa recherche (En dessous de 15min.) – Si tu vois des dossiers/fichiers, surligne le/les (tient la touche control (ctrl) enfoncer si tu en as plusieurs) et clic sur le/les dossiers/fichiers qui porte le nom de secuROM – Prends en un au hasard et clic droit dessus – Ensuite clic sur delete/supprimer.

Si rien de tout cela n’a fonctionné

6- Essais ça
Démarré - Exécuter/Run – Ds la petite fenêtre que s’ouvre tu tapes **msconfig** -
Puis clic sur l’onglet **Startup/démarrage** - Décoche tout ce qui porte le nom de secuROM – clic **Apply/Appliquer** et OK


Si rien de tout cela n’a fonctionné

7- Essais ça
Démarrer – Exécuter/Run - Ds la petite fenêtre qui s’ouvre tu tapes **services.msc**
puis tu recherches secuROM – Si tu le vois, double clic dessus – Ds la fenêtre qui s’ouvre (tu devrais déjà être sous l’onglet **général** sinon clic dessus) tu v’as pouvoir savoir ds ql dossier qu’il est caché! – Prend le en note et va retrouver le dit dossier – Tu le vois? Supprime le! – Tu ne le vois pas? Ben là!!!

En attendant
Je vais attendre après le rapport HJT après tes suppressions…

La réponse à ma question… (Post 22) <Alors pour savoir ce qui c’est passer, une question s’impose!>

<Cookinet, est ce qui a qlq’un à part toi, qui a accès aux infos de nos post et qui peut avoir fait tourner VundoFix à ta place sans que tu y sois pour enregistrer le log?>

Et savoir ce qui a et/ou n’a pas fonctionné de ce post! À chaque étape je veux et j'insiste, que tu me dises ce qui se passait exactement, peu importe ce qui est arriver à chaque étape (De la 3ièm à la 7ièm!!!)

Merci de ta collaboration Cookinet et souvient toi que c’est pour toi/t’aider que l’on est ici… Donne nous les infos demandé et ça va juste aller plus vite!

À:\+

TropJean ;o)
0
Réponse 14 / 19
Cookinet
8 avril 2007 à 07:10
je vois le dossier securom mais je peux pas le supprimer : chemin de dossier introuvable

<Cookinet, est ce qui a qlq’un à part toi, qui a accès aux infos de nos post et qui peut avoir fait tourner VundoFix à ta place sans que tu y sois pour enregistrer le log?> non je pense pas

ok etape 3: je vois le dossier mais pas supprimable

4: je le voi pas dan la liste

5: rien trouver

6: pas la

7: pas la
0
Réponse 15 / 19
TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015 3
8 avril 2007 à 08:55
Re,

Essais l’étape #3 avec ce prog
https://www.01net.com/telecharger/windows/Utilitaire/manipulation_de_fichier/fiches/32585.html

Il s’appel Unlocker, voici comment tu v’as procédé une fois installé…

Clic droit sur le dossier de secuROM - Ensuite tu clic sur l’onglet Unlocker – Il va l’analyser et même s’il ne trouve rien, tu v’as avoir un choix d’action à faire, place l’onglet sur effacer – Ensuite clic sur le bouton valider – clic sur fermer s’il ne se ferme pas seul.

Donne moi des news

À:\+

TropJean ;o)
0
Réponse 16 / 19
Cookinet
9 avril 2007 à 21:00
Ca a marché il l'a effacé. Mais il servait à koi ce dossier?
0
Réponse 17 / 19
TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015 3
10 avril 2007 à 03:29
Salut Cookinet,

C’est excellent! Alors ça veut dire que tu n’as plus de virus et comme tu ne m’as pas posté le scan de HJT, je suppose que tu prends pour acquis que tout va bien et que tu es bien protégé!

Si jamais ça te tente de lire et d’essayer de comprendre de ce que nous avons discuté ds les post antérieur, laisse le moi savoir et si j’ai du temps j’essaierais de t’aider, du mieux que je peux!

D’ici là…

Bonne chance!

TropJean ;o)
0
Réponse 18 / 19
Cookinet le minou content parce qu'il n'a plus de virus
11 avril 2007 à 01:51
mon hjt:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:49:48, on 2007-04-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\lg_fwupdate\fwupdate.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\uTorrent\utorrent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\downloads\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Catalyst System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: geebb - C:\WINDOWS\system32\geebb.dll (file missing)
O20 - Winlogon Notify: pmnll - C:\WINDOWS\system32\pmnll.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

End of file - 8870 bytes
0
Réponse 19 / 19
TropJean Messages postés 214 Date d'inscription mercredi 14 mars 2007 Statut Membre Dernière intervention 29 mai 2015 3
13 avril 2007 à 10:01
Re,

Fais ceci et tout va être correct après

Mode sans échec – HJT - **Do a scan only** - Coche les lignes suivantes – Clic **Fix checked** - Les lignes 04 ce sont des prog qui démarre en même temps que Windows, ce qui ralenti son démarrage considérablement! T’inquiète pas ils seront tjrs fonctionnel au moment ou tu en auras besoin!

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Catalyst System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

Pour les lignes suivantes, fais comme suit

Pour éliminer ctfmon.exe au démarrage:

Démarré/Start - Panneau de config/Control panel - Options régionales et linguistiques/Regional & linguis… - Langues/Languages – Détails/Details – Avancé/Advanced- Cocher la case **Arrêtez les services de texte avancés/Turn off adv text serv**

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

Voilà tout est ok! Prend soin de ton PC et il te rendra bien… ;o)

Si tu as des questions ne te gène pas et ds ton prochain post S.T.P. coche l’option prob résolus… Merci!

AU:\+SIR

TropJean ;o)
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
mail qui revient sans cesse
jos -
_Ritchi_ -

3 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Trojan alerte
Titou43 -
gen-hackman -

23 réponses