Sujet Précédent Sujet Suivant

Trojan windrv0 mais je sais pas le virer!

Fermé
joebar2 - 15 avril 2007 à 11:31
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 - 8 mai 2007 à 21:28
sulut tout le monde
voici mon souci:
mon Pc rame a mort et dl des trucs sans que je le lui demande.
j'ai reperer le trojan, c'est windrv0 mais je ne sais po le virer
help svp, c'est sympa
merci d'avance
voici mon jack
ogfile of HijackThis v1.99.1
Scan saved at 11:29:17, on 15/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\windows\system32\mstsdsc.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DriverLoad\windrv0.exe
C:\DriverLoad\windrv0.exe
C:\DriverLoad\windrv0.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
C:\DriverLoad\windrv0.exe
C:\DriverLoad\windrv0.exe
C:\DriverLoad\windrv0.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {F5938714-BD46-408A-9842-4058206D37E3} - C:\WINDOWS\Temp\~00754.tmp
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\Temp\~00754.tmp
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [mstsdsc.exe] c:\windows\system32\mstsdsc.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [alpha] c:\DriverLoad\windrv0.exe
O4 - HKCU\..\Run: [beta] c:\DriverLoad\windrv0.exe
O4 - HKCU\..\Run: [gamma] c:\DriverLoad\windrv0.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\tmwsock.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE1BDA3D-E99A-443B-BD99-77C4699F1D7C}: NameServer = 84.103.237.146 86.64.145.146
O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOCUME~1\Sofian\LOCALS~1\Temp\dnlsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

merci a bientot
A voir également:

15 réponses

Réponse 1 / 15
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
15 avril 2007 à 14:05
bonjour,

je te prépare des manips à effectuer, réponse dans qq minutes
0
Réponse 2 / 15
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
15 avril 2007 à 14:18
voici :

* Télécharge LSPfix
http://www.cexx.org/LSPFix.exe

* Lance LSPfix
* Déconnecte-toi d'Internet et ferme toutes les fenêtres d'Internet Explorer.
* Coche la case "I know what I'm doing"
* Sélectionne l'instance de la dll suivante (celle ci et ps 1 autre, sinon ferme LSPfix) :

tmwsock.dll

* fais les glisser du panneau de gauche "keep" au panneau de droite "Remove".
Clique sur le bouton "Finish".
(Si elle est déjà dans le panneau "Remove" alors clique directement sur le bouton "Finish".)

puis

* Télécharge CCleaner.

https://www.pcastuces.com/logitheque/ccleaner.htm

Installe le dans un répertoire dédié.

Décoche pendant l'installation

--- les deux cases "Ajouter l'option ... "

--- Contrôler les mises à jour

--- Ajouter la Barre d'Outils Yahoo! CCleaner

et

* Télécharge Pocket KillBox sur ton bureau.
http://www.downloads.subratam.org/KillBox.exe

et

* télécharge AVG Anti-Spyware (ewido)

https://www.avg.com/en-ww/free-antivirus-download

* tu l'installes

* lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente
si tu n'arrives pas à le mettre à jour prends ici les màj
http://downloads.ewido.net/avgas-signatures-full-current.exe

puis

Démarrer "Exécuter…" puis Tape "services.msc" et valide par OK
la fenêtre des Services s'ouvre => vérifier dans la partie inférieure que l'onglet "Etendu" est bien sélectionné, sinon faites le.

MS Software Shadow Download Provider (dnlsvc)
et le chemin
C:\DOCUMENTS & SETTINGS\Sofian\LOCALS SETTINGS\Temp\dnlsvc.exe

- Dans la colonne "Nom", DOUBLE CLIQUE sur le service noté en GRAS ci dessus, pour faire apparaître "Propriétés".
- Vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de l'emplacement souligné.
- Puis clique sur Arrêter
- Dans le menu déroulant "Type de démarrage", sélectionne "Désactivé".
- valide la modification par OK
- Ferme la fenêtre des Services.

puis

Ouvre Hijackthis puis
Ouvrir la section outils
Outils
Enlever un service NT
Entre :
MS Software Shadow Download Provider
Valide

puis



* lance hijackthis pour un "scan seulement" puis coche ces lignes :

O2 - BHO: (no name) - {F5938714-BD46-408A-9842-4058206D37E3} - C:\WINDOWS\Temp\~00754.tmp
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\Temp\~00754.tmp
O4 - HKLM\..\Run: [mstsdsc.exe] c:\windows\system32\mstsdsc.exe
O4 - HKCU\..\Run: [alpha] c:\DriverLoad\windrv0.exe
O4 - HKCU\..\Run: [beta] c:\DriverLoad\windrv0.exe
O4 - HKCU\..\Run: [gamma] c:\DriverLoad\windrv0.exe

* ferme toutes les applications ouvertes y compris Internet Explorer et clique sur "fixer objet"

puis

* Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
* copie d'un trait les lignes de la citation suivante : 

c:\DriverLoad
c:\windows\system32\mstsdsc.exe



Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer).

Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.
- coche la case "Unregister dll before deleting" (si tu en as la possibilité)
- clique sur le bouton "All files"
- clique ensuite sur la croix rouge

Au deux messages qui vont s'afficher, tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.

puis

Lance AVG Anti-Spyware

Clique sur le bouton Analyse (de la barre d'outils)

puis fait dans l'ordre stp. Tu sauvegardes le rapport APRES avoir mis les actions.

Puis sur l'onglet Paramètres,
sous : "Comment réagir "clique sur Actions recommandées. Sélectionne Quarantaine.

Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

A la fin du scan, choisis l'option 3

"Appliquer toutes les actions " en bas.

Clique sur "Enregistrer le rapport".

Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

Poste le.

* Lance Ccleaner pour un nettoyage complet.

* reviens avec les rapports ainsi qu'un nouveau rapport hijackthis stp
0
Adonnis
4 mai 2007 à 12:12
Merci philae83.

J'avais exactement le même problème que Joebar, et ton tutorial a parfaitement marché, et a résolu le problème.

Encore merci!
0
Réponse 3 / 15
joebar2
19 avril 2007 à 22:31
Philae83
Merci bcp de ton aide, le pb semble resolu mais un autre est survenu, j'ai installe avast antivirus mais il semble qu'il ait efface copy.exe (je ne peux plus aller dans c:) et svchost.exe (message d'erreur au demarrage)
voici mes rapports
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 22:20:28 19/04/2007

+ Résultat de l'analyse:



C:\WINDOWS\Temp\ms-104.exe -> Adware.BHO : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-1343024091-1078145449-1060284298-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\Temp\_avast4_\unp68709976.tmp -> Downloader.Agent.aqk : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\Temp\_avast4_\unp236563327.tmp -> Hijacker.Delf.fj : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\Temp\ms-106.exe -> Hijacker.Delf.fj : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\Temp\ms-107.exe -> Hijacker.Delf.fj : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.11:C:\Documents and Settings\Sofian\Application Data\Mozilla\Firefox\Profiles\vg7v0i4c.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.34:C:\Documents and Settings\Sofian\Application Data\Mozilla\Firefox\Profiles\vg7v0i4c.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Sofian\Cookies\sofian@adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.37:C:\Documents and Settings\Sofian\Application Data\Mozilla\Firefox\Profiles\vg7v0i4c.default\cookies.txt -> TrackingCookie.Com : Nettoyé.
C:\Documents and Settings\Sofian\Cookies\sofian@hit.gemius[1].txt -> TrackingCookie.Gemius : Nettoyé.
:mozilla.44:C:\Documents and Settings\Sofian\Application Data\Mozilla\Firefox\Profiles\vg7v0i4c.default\cookies.txt -> TrackingCookie.Revsci : Nettoyé.
:mozilla.45:C:\Documents and Settings\Sofian\Application Data\Mozilla\Firefox\Profiles\vg7v0i4c.default\cookies.txt -> TrackingCookie.Revsci : Nettoyé.
:mozilla.46:C:\Documents and Settings\Sofian\Application Data\Mozilla\Firefox\Profiles\vg7v0i4c.default\cookies.txt -> TrackingCookie.Revsci : Nettoyé.
:mozilla.47:C:\Documents and Settings\Sofian\Application Data\Mozilla\Firefox\Profiles\vg7v0i4c.default\cookies.txt -> TrackingCookie.Revsci : Nettoyé.
C:\Documents and Settings\Sofian\Cookies\sofian@spylog[1].txt -> TrackingCookie.Spylog : Nettoyé.
:mozilla.29:C:\Documents and Settings\Sofian\Application Data\Mozilla\Firefox\Profiles\vg7v0i4c.default\cookies.txt -> TrackingCookie.Toplist : Nettoyé.
C:\Documents and Settings\Sofian\Cookies\sofian@toplist[1].txt -> TrackingCookie.Toplist : Nettoyé.


Fin du rapport


Logfile of HijackThis v1.99.1
Scan saved at 22:30:58, on 19/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\dslagent.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\lclock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE1BDA3D-E99A-443B-BD99-77C4699F1D7C}: NameServer = 84.103.237.143 86.64.145.143
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

merci d'avance
0
Réponse 4 / 15
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
19 avril 2007 à 22:42
bonsoir,

effectivement, quelque chose ne va pas encore

* Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe


* Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

* Redémarre ton ordinateur en mode sans échec

* Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

avec un nouveau log Hijackthis
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
joebar2
4 mai 2007 à 21:44
Philae83
Merci de tes conseils mes voila
je tourne sous winLSD en j'ai un mot de passe pour demarrer
mais voila qu'en demarrant en mode sans echec, il me demande un mot de passe administrateur qui n'est apparement pas le meme que mon mot de passe hab ituel (win Lsd a ete installe par mon frere qui m'affirme qu'il a mis qu'un seul et meme mot de passe ou pas du tout) dans tous les cas, je n'arrive pas a demarrer en mode sans echec (en essayant le mot de passe ou pas...)
il y a t il un moyen de retrouver ce mot de passe?
Merci par avance
Joebar2
0
Réponse 6 / 15
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
4 mai 2007 à 22:14
bonsoir,

je suis désolée, mais alors là.....je suis dans l'incapacité de te répondre
0
Réponse 7 / 15
joebar2
4 mai 2007 à 23:08
philae83
finalement j'ai trouve la solution et j'ai pu execute les taches demandees et voici le rapport de
SDfix et hijack
SDFix: Version 1.79

Run by Sofian - 04/05/2007 - 22:48:07,37

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Sofian\Bureau\SDFix

Safe Mode:
Checking Services:

Name:
dnlsvc
msdirect

ImagePath:
"C:\DOCUME~1\Sofian\LOCALS~1\Temp\dnlsvc.exe"
\??\C:\WINDOWS\system32\msdirect.sys

dnlsvc - Deleted
msdirect - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found...




Removing Temp Files

ADS Check:

Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"c:\\windows\\system32\\a.exe"="c:\\windows\\system32\\a.exe:*:Enabled:a"
"c:\\windows\\system32\\mstsdsc.exe"="c:\\windows\\system32\\mstsdsc.exe:*:Enabled:mstsdsc"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------


Checking For Files with Hidden Attributes:

C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe

Finished
hijack
Logfile of HijackThis v1.99.1
Scan saved at 23:05:20, on 04/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\dslagent.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\lclock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE1BDA3D-E99A-443B-BD99-77C4699F1D7C}: NameServer = 86.64.145.141 84.103.237.141
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Merci d'avance
0
Réponse 8 / 15
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
4 mai 2007 à 23:20
re

ok, peux tu faire un scan antivirus en ligne pour vérif stp

* Fait un scan antivirus en ligne Panda et copie colle le résultat ici
https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm
(désactive ton AV le temps du scan)
* tuto en image
https://forum.pcastuces.com/default.asp#haut

à la lettre T
0
Réponse 9 / 15
joebar2
5 mai 2007 à 11:14
re
voici le rapport du scan panda
Incident Statut Analyse

Spyware:Cookie/MediaTickets No Désinfecté C:\Documents and Settings\LocalService\Cookies\system@kinghost[1].txt
Spyware:Cookie/Toplist No Désinfecté C:\Documents and Settings\LocalService\Cookies\system@toplist[1].txt
Spyware:Cookie/WebPower No Désinfecté C:\Documents and Settings\LocalService\Cookies\system@webpower[1].txt
Adware:Adware/BHO No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O94BCJ2F\exe[1].exe
Virus:Trj/Clicker.YP Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\U1ERMNU7\go[1].exe
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Sofian\Application Data\Mozilla\Firefox\Profiles\vg7v0i4c.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Sofian\Application Data\Mozilla\Firefox\Profiles\vg7v0i4c.default\cookies.txt[.advertising.com/]
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Sofian\Application Data\Mozilla\Firefox\Profiles\vg7v0i4c.default\cookies.txt[.247realmedia.com/]
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Sofian\Application Data\Mozilla\Firefox\Profiles\vg7v0i4c.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Sofian\Application Data\Mozilla\Firefox\Profiles\vg7v0i4c.default\cookies.txt[.bluestreak.com/]
Outil indésirable:Application/Pskill.K No Désinfecté C:\Documents and Settings\Sofian\Bureau\clean\pskill.exe
Outil indésirable:Application/Pskill.K No Désinfecté C:\Documents and Settings\Sofian\Bureau\clean.zip[clean/pskill.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Sofian\Bureau\SDFix\apps\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Sofian\Bureau\SDFix.exe[SDFix\apps\Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Sofian\Mes documents\sdfix\SDFix\apps\Process.exe
Outil indésirable:Application/Pskill.K No Désinfecté C:\Program Files\clean\pskill.exe
Outil indésirable:Application/Processor No Désinfecté C:\Program Files\SDFix\apps\Process.exe
merci d'avance
0
Réponse 10 / 15
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
5 mai 2007 à 15:55
bonjour,


* Assure toi d'avoir accès à tous les fichiers

-démarrer

-poste de travail ou autre dossier

-menu outils

-options de dossier

-onglet affichage

puis

- activer la case : Afficher les fichiers et dossiers cachés

- désactiver la case : Masquer les extensions des fichiers dont le type est connu

- désactiver la case : Masquer les fichier protégés du système d'exploitation

Puis - Appliquer

* et Supprime le(s) fichier(s) ci dessous si il(s) est (sont) présent(s) :

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\---------------tout le contenu

* Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir. Retourne à la fenêtre Paramètres de dossiers et sélectionne Ne pas afficher les fichiers cachés ou les fichiers système

pour ton nouveau problème, il est toujours présent ?

0
Réponse 11 / 15
joebar2
7 mai 2007 à 10:59
bonjour
bah en fait, je viens de supprimer le fichier demandé mais je ne peux toujours pas aller directement dans c:, il me dit qu'il ne trouve pas le fichier copy.exe...?
que dois je faire
merci
0
Réponse 12 / 15
joebar2
7 mai 2007 à 14:02
De plus, l'ordi et 1000 fois plus au demarrage desormais, est ce normal? est du a l'AV?
Merci
0
Réponse 13 / 15
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
7 mai 2007 à 14:29
bonjour

pour ton problème "copy.exe"
essaye
fixperl

http://www.morx.org/fixperl.exe

0
Réponse 14 / 15
joebar2
8 mai 2007 à 19:50
Philae83
je te remercie 1000 fois pour tous tes conseils car la ca remarche casi nikel a part le fait que l'ordi rame plus mais bon ca doit l'anti virus
Merci 1000 fois kan meme
A+
0
Réponse 15 / 15
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
8 mai 2007 à 21:28
bonsoir,

ok parfait. Tu dis que ce doit être ton antivirus, mais avast ne fait pas ramer le pc. As tu assez de mémoire ? as tu fait récemment une défrag ?
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Trojan alerte
Titou43 -
gen-hackman -

23 réponses
Trojan:Win32/Wacatac.C!ml
lafayette53 -
Lud1450 -

20 réponses