| MIMI54
commence par supprimer tous les cracks de ton PC car ils vont relancer l'infection au fur et à mesure
ensuite
suis bien les consignes et tiens moi au courant scrupuleusement des résultats, cette variante est coriace!
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton Pc!
tu vas faire ceci dans l'ordre indiqué et en respectant les consignes
ATTENTION CECI EST POUR CET UTILISATEUR, NE PAS EFFECTUER SANS L'ACCORD D'UN CONSEILLER!!!
Copie les lignes de la citation suivante, d'un trait :
Drivers to unload:
SROSA
Folders to Delete:
C:\WINDOWS\system32\drivers\down
Files to Delete:
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\MDELK.EXE
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
Clic droit / "copier"
Maintenant crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau" > "Document Texte".
* Ouvre-le et colle dedans ce que tu viens de copier précédemment
* Enregistre ce fichier sur ton bureau (nom : mad.txt)
* Télécharge à présent The Avenger
http://swandog46.geekstogo.com/avenger.zip
* Dézippe-le sur ton bureau et double-clique sur le fichier "avenger.exe"
* Clique sur "Ok"
* Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
* Sélectionne le fichier mad.txt qui est sur ton bureau
* Clique sur le feu vert pour lancer le script
* Clique sur "Oui"
* Accepte de redémarrer ton pc
après le redémarrage :
* Ouvre le fichier C:\avenger.txt et copie/colle son contenu ici.
supprime ta version de elibagla
télécharge le à nouveau sur le lien que je t'ai fourni plus haut et scanne ton PC avec, il devrait te redonner accès au mode sans échec
télécharge Combofix et renomme le avant de l'enregistrer sur ton bureau
fais exactement comme décrit ici
http://forum.pcastuces.com/sujet.asp?f=25&s=37315
Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
désactive ton antivirus, antispyware, et Spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite.
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
télécharge antivir
http://www.pcastuces.com/logitheque/antivir.htm
redémarre en mode sans échec et scanne ton PC avec, poste le rapport obtenu avec un rapport hijack this
tout vient à point à qui sait attendre
pas de demande par MP svp | 6 MIMI54, le 23 fév 2008 à 08:55:58Bonjour, depuis hier soir j'essaie d'ouvrir avenger mais il ne s'ouvre pas, est ce qu'il y aurait une autre solution ? je te remercie deja d'avoir repondu si vite a mon premier messsage a bientot j'espere. |
| 18 gillespascoucou, le 18 mar 2008 à 21:13:59Bonsoir.Je crois avoir le meme pb....Mon ordi a redemarré m'indiquant qu'il vient de recuperer d'une erreur serieuse. Depuis impossible de lancer avast qui ne se lance plus automatiquement au demarrage de l'ordi...Pourriez vous m'aider svp? | Crée ton proptr topic, cela sera plus simple pour t'aider!
tout vient à point à qui sait attendre
pas de demande par MP svp |
|
| 33 Pim4012, le 15 aoû 2008 à 10:03:25Salut,
Je me promène sur les forums pour essayer de régler un problème que tu as déjà essayer de régler il y a 6 mois pour quelqu'un d'autre.
Voici ma situation :
Avast n'est pas une application W32 valide.
J'ai exécuté Elibagle (logiciel en espagnol) qui ne m'a trouvé aucune erreur.
J'ai exécuté combo fix qui m'a trouvé quelques trucs mais je ne suis pas expert pour lire le rapport txt de combo.
J'ai rebooté, et ca ne change rien.
Ma prochaine étape : supprimer Avast pour mettre Antivir (j'ai cru comprendre que c'était mieux).
Que me conseilles tu ? Je ne sais plus trop comment continuer.
Merci d'avance
Pim
Je peux poster le rapport combo si ca intéresse quelqu'un. | Poste rapport elibagla
rapport ComboFix
et fais ceci
1/télécharge et installe le logiciel Hijack This
http://www.pcastuces.com/logitheque/hijackthis.htm
2/
Télécharge MalwareByte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le, mets le à jour
Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
Sélectionne ton (tes) disques durs.
Lancer l'examen, supprimer tout ce qu’il trouve !
Clique sur Enregistrer le rapport et choisis ton Bureau
poste un rapport hijack this
Les manipulations proposées ont été testées de nombreuses fois sans problèmes. Mais toute infection, une fois installée, peut causer des dommages sur l'ordinateur.
La désinfection peut aussi dans certains cas, entraîner des anomalies de fonctionnements.
tout vient à point à qui sait attendre | 35 Pim4012, le 15 aoû 2008 à 20:22:49RAPPORT COMBOFIX
ComboFix 08-08-13.05 - Pierre Emmanuel 2008-08-14 20:58:13.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.745 [GMT 2:00]
* CrÚation d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE R+CUP+RATION N'EST PAS INSTALL+E SUR CETTE MACHINE !!/b/color
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Pierre Emmanuel\Cookies.\pierre_emmanuel@serving-sys[1].txt
C:\Documents and Settings\Pierre Emmanuel\Cookies.\pierre_emmanuel@www.pandasecurity[1].txt
C:\Documents and Settings\Pierre Emmanuel\Favoris\Online Security Test.url
C:\InfoSat.txt
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\fad.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\srosa.sys
.
((((((((((((((((((((((((((((( Fichiers crÚÚs 2008-07-14 to 2008-08-14 ))))))))))))))))))))))))))))))))))))
.
2008-08-14 18:20 . 2008-08-14 18:20 <REP> d-------- C:\Muestras
2008-08-08 08:43 . 2008-08-08 08:43 <REP> d-------- C:\WINDOWS\report
2008-08-08 08:42 . 2008-08-08 08:42 <REP> d-------- C:\WINDOWS\AU_Backup
2008-08-08 08:42 . 2008-08-08 08:42 26,360,945 --a------ C:\WINDOWS\VPTNFILE.463
2008-08-08 08:42 . 2008-08-08 08:42 26,360,945 --a------ C:\WINDOWS\LPT$VPN.463
2008-08-08 08:42 . 2008-08-08 08:42 1,963,957 --a------ C:\WINDOWS\tsc.ptn
2008-08-08 08:42 . 2008-08-08 08:42 1,213,784 --a------ C:\WINDOWS\vsapi32.dll
2008-08-08 08:42 . 2008-08-08 08:42 333,576 --a------ C:\WINDOWS\TSC.exe
2008-08-08 08:42 . 2008-08-08 08:42 91,744 --a------ C:\WINDOWS\BPMNT.dll
2008-08-08 08:42 . 2008-08-08 08:42 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-08-08 08:42 . 2008-08-08 08:44 823 --a------ C:\WINDOWS\tsc.ini
2008-08-08 08:41 . 2008-08-08 08:42 <REP> d-------- C:\WINDOWS\AU_Temp
2008-08-08 08:41 . 2008-08-08 08:41 <REP> d-------- C:\WINDOWS\AU_Log
2008-08-08 08:41 . 2008-08-08 08:41 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2008-08-08 08:41 . 2008-08-08 08:41 286,720 --a------ C:\WINDOWS\PATCH.EXE
2008-08-08 08:41 . 2008-08-08 08:41 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2008-08-08 08:41 . 2008-08-08 08:41 170 --a------ C:\WINDOWS\GetServer.ini
2008-08-05 08:33 . 2008-08-05 08:33 <REP> d-------- C:\Program Files\Alwil Software
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-14 18:14 --------- d-----w C:\Documents and Settings\Pierre Emmanuel\Application Data\Skype
2008-08-14 16:05 --------- d-----w C:\Program Files\Panda Security
2008-08-08 06:35 --------- d-----w C:\Program Files\ICQToolbar
2008-08-06 06:14 --------- d-----w C:\Program Files\Norton Internet Security
2008-08-06 05:05 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-08-06 05:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-08-04 07:37 --------- d-----w C:\Program Files\eMule
2008-07-16 18:47 --------- d-----w C:\Program Files\Winamp
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:41 247,808 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:41 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 10:44 138,368 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\dllcache\bthport.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ÚlÚments vides & les ÚlÚments initiaux lÚgitimes ne sont pas listÚs
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]
"MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2006-10-02 21:49 190024]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2006-10-13 18:20 20058152]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dell Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY" [X]
"Apoint"="C:\Program Files\Apoint\Apoint.exe" [2004-06-05 02:10 708616]
"MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2006-10-02 21:49 190024]
"zBrowser Launcher"="C:\Program Files\Logitech\iTouch\iTouch.exe" [2004-03-18 09:33 892928]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 18:48 32881]
"CreativeTaskScheduler"="C:\Program Files\Creative\Shared Files\CTSched.exe" [2006-01-09 04:43 53340]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-08-14 19:19 115816]
"osCheck"="C:\Program Files\Norton Internet Security\osCheck.exe" [2008-08-14 19:19 771704]
"Symantec PIF AlertEng"="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-11-28 20:51 583048]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-08-14 18:06 79224]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]
C:\Documents and Settings\Pierre Emmanuel\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50 113664]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Digital Line Detect.lnk - C:\Program Files\Digital Line Detect\DLG.exe [2005-10-06 12:08:05 24576]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Assistant d'Acrobat.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Assistant d'Acrobat.lnk
backup=C:\WINDOWS\pss\Assistant d'Acrobat.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Bluetooth Manager.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Bluetooth Manager.lnk
backup=C:\WINDOWS\pss\Bluetooth Manager.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2005-05-12 22:00 344064 C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Creative WebCam Tray]
--------- 2005-10-27 12:00 299008 C:\Program Files\Creative\Shared Files\CamTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]
--------- 2004-04-26 09:04 53248 C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-10-25 16:57 155648 C:\Program Files\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-07-09 23:33 36352 C:\Program Files\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\ICQ6\\ICQ.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\Alwil Software\\Avast4\\ashAvast.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R3 GTIPCI21;GTIPCI21;C:\WINDOWS\system32\DRIVERS\gtipci21.sys [2004-05-03 09:26]
S0 pnpshark;pnpshark;C:\WINDOWS\system32\DRIVERS\pnpshark.sys []
S0 st3shark;st3shark;C:\WINDOWS\system32\DRIVERS\st3shark.sys []
S3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\Drivers\LCcFltr.Sys [2004-03-03 09:50]
S3 V0260VID;Live! Cam Vista IM;C:\WINDOWS\system32\DRIVERS\V0260Vid.sys [2006-04-01 17:16]
*Newly Created Service* - CATCHME
*Newly Created Service* - COMHOST
*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -
MSConfigStartUp-BSplayer_WhenUSave_Installer - C:\Program Files\BSplayer_WhenUSave_Installer\BSplayer_WhenUSave_Installer.exe
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Pierre Emmanuel\Application Data\Mozilla\Firefox\Profiles\3dsval0w.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr
FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Program Files\Java\j2re1.4.2_03\bin\NPJava11.dll
FF -: plugin - C:\Program Files\Java\j2re1.4.2_03\bin\NPJava12.dll
FF -: plugin - C:\Program Files\Java\j2re1.4.2_03\bin\NPJava13.dll
FF -: plugin - C:\Program Files\Java\j2re1.4.2_03\bin\NPJava14.dll
FF -: plugin - C:\Program Files\Java\j2re1.4.2_03\bin\NPJava32.dll
FF -: plugin - C:\Program Files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll
FF -: plugin - C:\Program Files\Java\j2re1.4.2_03\bin\NPOJI610.dll
FF -: plugin - C:\Program Files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-14 21:02:54
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachÚs ...
Balayage cachÚ autostart entries ...
Balayage des fichiers cachÚs ...
Scan terminÚ avec succÞs
Les fichiers cachÚs: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\WLTRYSVC.EXE
C:\WINDOWS\system32\BCMWLTRY.EXE
C:\WINDOWS\system32\scardsvr.exe
C:\WINDOWS\system32\BAsfIpM.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Dell\NicConfigSvc\NicConfigSvc.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-14 21:05:35 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-14 19:04:58
Pre-Run: 45,390,127,104 octets libres
Post-Run: 45,531,242,496 octets libres
191 --- E O F --- 2008-07-11 06:20:11 | Fais la suite
et fais examiner ces fichiers sur virus total
http://www.virustotal.com/
C:\WINDOWS\GetServer.ini
C:\WINDOWS\system32\DRIVERS\pnpshark.sys
C:\WINDOWS\system32\DRIVERS\st3shark.sys
poste les rapports obtenus
ton antivirus c'est avast ou Symantec ou Panda? cela fait beaucoup! 1 et 1 seul antivirus sur un Pc cela suffit!!
Les manipulations proposées ont été testées de nombreuses fois sans problèmes. Mais toute infection, une fois installée, peut causer des dommages sur l'ordinateur.
La désinfection peut aussi dans certains cas, entraîner des anomalies de fonctionnements.
tout vient à point à qui sait attendre | 39 Pim4012, le 15 aoû 2008 à 20:43:42Mon antivirus, c'est rien du tout en ce moment.
J'avais Norton auparavant, j'ai voulu changé il y a quelques jours (license expirée).
J'ai voulu prendre avast que j'ai depuis supprimé en lisant vos messages qui conseillaient antivir.
Quand a Panda il n'a jamais été sur mon PC, un vieux truc qui traine. | Donc dans ce cas il faudra enlever ensemble les résidus après la désinfection
en attendant
télécharge Antivir
http://www.pcastuces.com/logitheque/antivir.htm
désactive avast
installe Antivir et Scanne le PC en mode sans échec, si possible, après malwarebyte
poste son rapport
Comment aller en Mode sans échec de cette façon et pas autrement
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur
Les manipulations proposées ont été testées de nombreuses fois sans problèmes. Mais toute infection, une fois installée, peut causer des dommages sur l'ordinateur.
La désinfection peut aussi dans certains cas, entraîner des anomalies de fonctionnements.
tout vient à point à qui sait attendre |
|
| 42 Pim4012, le 15 aoû 2008 à 21:08:00Voila pour le premier fichier :
Fichier GetServer.ini reçu le 2008.08.15 21:04:33 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/35 (0%)
Ce "résume de rapport" te suffit ?
Je continue... |
| 43 Pim4012, le 15 aoû 2008 à 21:21:52Pour en finir avec virustotal.com, le premier rapport pour le 1er fichier je l'ai posté (message 42).
Les 2 autres fichiers je le les trouve pas.
Ou je suis idiot, ou ils ont disparu... :)
Malwarebytes tourne en ce moment, je n'ai pas tenté le mode sans échec, je le ferai avec antivir. |
|
|
| 37 Pim4012, le 15 aoû 2008 à 20:37:44RAPPORT ELIBAGLE (je viens de le refaire tourner et il m'a trouvé qqch apparemment)
J enchaine sur les 2 autres exécutables que tu m'as donné dans ton précédent message.
Fri Aug 15 20:25:29 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Fri Aug 15 20:25:38 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\SROSA.SYS.VIR --> Eliminado Bagle (rootkit)
Nº Total de Directorios: 7249
Nº Total de Ficheros: 71128
Nº de Ficheros Analizados: 11200
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1 | Oui il a trouvé bagle dans la quarantaine de Combofix, fais la suite avec Malwarebyte, en mode sans échec si tu le peux, tu n'insistes pas si tu n'y arrives pas, et tu le fais en mode normal, car bagle a la très mauvaise habitude de casser le mode sans échec, tu risques de te retrouver bloqué avec obligation de formater....
Les manipulations proposées ont été testées de nombreuses fois sans problèmes. Mais toute infection, une fois installée, peut causer des dommages sur l'ordinateur.
La désinfection peut aussi dans certains cas, entraîner des anomalies de fonctionnements.
tout vient à point à qui sait attendre | 41 Pim4012, le 15 aoû 2008 à 20:48:35RAPPORT HIJACK
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:47:01, on 15/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\basfipm.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Creative\Shared Files\CTSched.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=fbi.emn.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CreativeTaskScheduler] "C:\Program Files\Creative\Shared Files\CTSched.exe" /logon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Unknown owner - C:\Program Files\Norton Internet Security\isPwdSvc.exe (file missing)
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
End of file - 9181 bytes |
|
|
| 44 Pim4012, le 15 aoû 2008 à 21:58:01RAPPMalwarebytes' Anti-Malware 1.24
Version de la base de données: 1012
Windows 5.1.2600 Service Pack 2
21:54:23 15/08/2008
mbam-log-8-15-2008 (21-54-23).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 103645
Temps écoulé: 51 minute(s), 13 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Program Files\Adobe\Acrobat 6.0\Acrobat\PDF417Encoder.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
ORT MALWAREBYT | 45 Pim4012, le 16 aoû 2008 à 08:40:00Petit bilan de la nuit :
J ai fait tourner Malware et Antivir en mode sans échec, mais ca ne sert a rien puisque je n'ai pas pu updater les versions !(pas en mode sans échec, en mode normal).
J'ai désactiver mon pare feu, même résultat.
Dans le centre sécurité de windows, il considère encore que Norton est mon antivirus, alors que j'ai désinstallé Norton proprement il y a 10 jours.
J ai donc 2 questions :
comment permettre a Malware et Antivir de se mettre a jour ?
Comment faire reconnaitre antivir comme AV principal ? (équivalent à comment virer norton totalement)
Concernant le résultat des scans juste pour info :
Malware : Dossier(s) infecté(s):
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Program Files\Adobe\Acrobat 6.0\Acrobat\PDF417Encoder.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
Antivir :
Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Starting to scan the registry.
The registry was scanned ( '61' files ).
Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1A143314.exe
[0] Archive type: HIDDEN
--> FIL\\\?\C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1A143314.exe
[DETECTION] Is the TR/Dldr.Zlob.Gen Trojan
[NOTE] The file was moved to '48d6e21d.qua'!
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1A175D10.exe
[0] Archive type: HIDDEN
--> FIL\\\?\C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1A175D10.exe
[DETECTION] Is the TR/Dldr.Zlob.Gen Trojan
[NOTE] The file was moved to '48d6e221.qua'!
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1A1D3109.exe
[0] Archive type: HIDDEN
--> FIL\\\?\C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1A1D3109.exe
[DETECTION] Is the TR/Dldr.Zlob.Gen Trojan
[NOTE] The file was moved to '48d6e224.qua'!
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\215537A3.exe
[0] Archive type: HIDDEN
--> FIL\\\?\C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\215537A3.exe
[DETECTION] Contains recognition pattern of the WORM/P2P.Kapucen.Gen worm
[NOTE] The file was moved to '48dae224.qua'!
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\6F9F3236
[0] Archive type: HIDDEN
--> FIL\\\?\C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\6F9F3236
[DETECTION] Is the TR/DNSChanger.CA.1 Trojan
[NOTE] The file was moved to '48dee241.qua'!
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\6FA25C32.exe
[0] Archive type: HIDDEN
--> FIL\\\?\C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\6FA25C32.exe
[DETECTION] Is the TR/DNSChanger.CA.1 Trojan
[NOTE] The file was moved to '48e6e243.qua'!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
End of the scan: vendredi 15 août 2008 23:22
Used time: 1:16:43 Hour(s)
The scan has been done completely.
7280 Scanning directories
296923 Files were scanned
6 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
6 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
296915 Files not concerned
3416 Archives were scanned
2 Warnings
6 Notes
Peux tu répondre à mes 2 questions stp ?
Et merci encore pour ton aide. | Recherche puis vide ce dossier
pour cela affiche tes fichiers et dossiers cachés de cette façon
Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\
cache à nouveau tes fichiers dossiers afin de ne pas commettre d'erreur à l'avenir
maintenant as tu supprimé Norton avec son désinstalleur?
http://service1.symantec.com/...
car c'est ainsi qu'il faut le faire....
ensuite tu fais une recherche avec l'outil windows sur ces noms
Norton
Symantec
et tu supprimes tout ce que tu trouves
puis tu fais ceci
Télécharge : - Ccleaner
http://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Lance CCleaner , nettoyeur, et supprime tout ce qu'il trouve
lance CCleaner erreur et répare ce qu'il trouve, accepte les sauvegardes
fais jusqu'à ce qu'il ne trouve plus rien
ensuite tu fais encore ceci
Télécharge OAD ( par !aur3n7) http://sosvirus.changelog.fr/OAD.exe
- Enregistre-le sur ton Bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de : Norton
- Type de recherche : Sélectionne l'option 6 puis valide [entrée]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
Note importante : Suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient
recommence avec
Symantec
à+
Les manipulations proposées ont été testées de nombreuses fois sans problèmes. Mais toute infection, une fois installée, peut causer des dommages sur l'ordinateur.
La désinfection peut aussi dans certains cas, entraîner des anomalies de fonctionnements.
tout vient à point à qui sait attendre | 47 pim4012, le 16 aoû 2008 à 11:11:58Voici le rapport OAD pour symantec :
16/08/2008 ---- 11:08:21,01
----------------------------------
§§§§§§ [symantec] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{E39D1C81-7E76-4d84-9F25-E2CC76EC050B}]
"LocalService"="Symantec Core LC"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{54635C92-DFAF-4A99-8802-92FB068A6154}\1.0]
@="Symantec Core LC Type Library"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{54635C92-DFAF-4A99-8802-92FB068A6154}\1.0\0\win32]
@="C:\\Program Files\\Fichiers communs\\Symantec Shared\\CCPD-LC\\symlcsvc.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{54635C92-DFAF-4A99-8802-92FB068A6154}\1.0\HELPDIR]
@="C:\\Program Files\\Fichiers communs\\Symantec Shared\\CCPD-LC\\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{DE54081F-08ED-44AE-AE80-13DEAA19A44A}\0.0\0\win32]
@="C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\Symantec\\SyKnAppS\\SyKnAppS.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\\Documents and Settings\\All Users\\Application Data\\Symantec\\"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\\Documents and Settings\\All Users\\Application Data\\Symantec\\SRTSP\\"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\\Documents and Settings\\All Users\\Application Data\\Symantec\\SRTSP\\Quarantine\\"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1320AC6CA3C6BE348BCCF3A944187592]
"00000000000000000000000000000000"="C:\\Program Files\\Fichiers communs\\Symantec Shared\\SymTheme\\1.0\\SymTheme.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\37CD63D80A9C6E94FB16F99570330B3E]
"00000000000000000000000000000000"="C:\\Program Files\\Fichiers communs\\Symantec Shared\\SymHTML\\1.0\\SymHTML.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\624FFDC2268AC6C4A9E6BC5926E5A098]
"00000000000000000000000000000000"="C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccL60.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B2B10810A354175489D0CE7F0B77DEF4]
"00000000000000000000000000000000"="C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccL60U.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore\00000082]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore\00000082\0000000f]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore\00000082\0000000f\0000001b]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore\00000082\0000001f]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore\00000082\0000001f\0000004b]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore\00000082\00000049]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore\00000082\00000049\000000b9]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToBackup]
"Symantec Core Components"=hex(7):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,\
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\BackupRestore\FilesNotToBackup]
"Symantec Core Components"=hex(7):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,\
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToBackup]
"Symantec Core Components"=hex(7):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,\
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\Symantec\\LIVEUP~1\\DOWNLO~1\\Updt55\\DlayUpd2.exe"="DlayUpdt"
[HKEY_USERS\.DEFAULT\Software\Symantec]
[HKEY_USERS\.DEFAULT\Software\Symantec\PIF]
[HKEY_USERS\.DEFAULT\Software\Symantec\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}]
[HKEY_USERS\.DEFAULT\Software\Symantec\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEngine]
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Local AppWizard-Generated Applications\Symantec_Norton_Internet_Security_2007.[Keygen].updated-fixed.Release.01-2007]
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Local AppWizard-Generated Applications\Symantec_Norton_Internet_Security_2007.[Keygen].updated-fixed.Release.01-2007\Recent File List]
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Local AppWizard-Generated Applications\Symantec_Norton_Internet_Security_2007.[Keygen].updated-fixed.Release.01-2007\Settings]
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="symantec"
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Microsoft\Windows\CurrentVersion\RunOnce]
@="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE http://www.symantec.com/..."
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Program Files\\Fichiers communs\\Symantec Shared\\PIF\\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\\PIFSvc.exe"="LiveUpdate Notice Service"
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Program Files\\Fichiers communs\\Symantec Shared\\OPC\\{31011D49-D90C-4da0-878B-78D28AD507AF}\\SymCUW.exe"="SymCUW"
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Program Files\\Fichiers communs\\Symantec Shared\\SymSetup\\{5AA2CD16-706F-41f3-87C5-2B5A031F2B3B}_10_2_0_30\\{5AA2CD16-706F-41f3-87C5-2B5A031F2B3B}.exe"="Setup"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\Symantec\\LIVEUP~1\\DOWNLO~1\\Updt55\\DlayUpd2.exe"="DlayUpdt"
[HKEY_USERS\S-1-5-18\Software\Symantec]
[HKEY_USERS\S-1-5-18\Software\Symantec\PIF]
[HKEY_USERS\S-1-5-18\Software\Symantec\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}]
[HKEY_USERS\S-1-5-18\Software\Symantec\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEngine]
*******************
[Fichier]
*******************
c:\Documents and Settings\All Users\Application Data\Symantec
c:\Documents and Settings\NetworkService\Application Data\Symantec
*********************
[Même date]
*********************
[R‚pertoire ] --- REP ---> C:\Program Files\Files
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
ET VOICI LE RAPPORT POUR NORTON
16/08/2008 ---- 11:08:21,01
----------------------------------
§§§§§§ [symantec] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{E39D1C81-7E76-4d84-9F25-E2CC76EC050B}]
"LocalService"="Symantec Core LC"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{54635C92-DFAF-4A99-8802-92FB068A6154}\1.0]
@="Symantec Core LC Type Library"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{54635C92-DFAF-4A99-8802-92FB068A6154}\1.0\0\win32]
@="C:\\Program Files\\Fichiers communs\\Symantec Shared\\CCPD-LC\\symlcsvc.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{54635C92-DFAF-4A99-8802-92FB068A6154}\1.0\HELPDIR]
@="C:\\Program Files\\Fichiers communs\\Symantec Shared\\CCPD-LC\\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{DE54081F-08ED-44AE-AE80-13DEAA19A44A}\0.0\0\win32]
@="C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\Symantec\\SyKnAppS\\SyKnAppS.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\\Documents and Settings\\All Users\\Application Data\\Symantec\\"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\\Documents and Settings\\All Users\\Application Data\\Symantec\\SRTSP\\"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\\Documents and Settings\\All Users\\Application Data\\Symantec\\SRTSP\\Quarantine\\"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1320AC6CA3C6BE348BCCF3A944187592]
"00000000000000000000000000000000"="C:\\Program Files\\Fichiers communs\\Symantec Shared\\SymTheme\\1.0\\SymTheme.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\37CD63D80A9C6E94FB16F99570330B3E]
"00000000000000000000000000000000"="C:\\Program Files\\Fichiers communs\\Symantec Shared\\SymHTML\\1.0\\SymHTML.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\624FFDC2268AC6C4A9E6BC5926E5A098]
"00000000000000000000000000000000"="C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccL60.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B2B10810A354175489D0CE7F0B77DEF4]
"00000000000000000000000000000000"="C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccL60U.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore\00000082]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore\00000082\0000000f]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore\00000082\0000000f\0000001b]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore\00000082\0000001f]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore\00000082\0000001f\0000004b]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore\00000082\00000049]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\CCPD-LC\KStore\00000082\00000049\000000b9]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToBackup]
"Symantec Core Components"=hex(7):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,\
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\BackupRestore\FilesNotToBackup]
"Symantec Core Components"=hex(7):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,\
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToBackup]
"Symantec Core Components"=hex(7):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,\
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\Symantec\\LIVEUP~1\\DOWNLO~1\\Updt55\\DlayUpd2.exe"="DlayUpdt"
[HKEY_USERS\.DEFAULT\Software\Symantec]
[HKEY_USERS\.DEFAULT\Software\Symantec\PIF]
[HKEY_USERS\.DEFAULT\Software\Symantec\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}]
[HKEY_USERS\.DEFAULT\Software\Symantec\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEngine]
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Local AppWizard-Generated Applications\Symantec_Norton_Internet_Security_2007.[Keygen].updated-fixed.Release.01-2007]
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Local AppWizard-Generated Applications\Symantec_Norton_Internet_Security_2007.[Keygen].updated-fixed.Release.01-2007\Recent File List]
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Local AppWizard-Generated Applications\Symantec_Norton_Internet_Security_2007.[Keygen].updated-fixed.Release.01-2007\Settings]
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="symantec"
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Microsoft\Windows\CurrentVersion\RunOnce]
@="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE http://www.symantec.com/..."
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Program Files\\Fichiers communs\\Symantec Shared\\PIF\\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\\PIFSvc.exe"="LiveUpdate Notice Service"
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Program Files\\Fichiers communs\\Symantec Shared\\OPC\\{31011D49-D90C-4da0-878B-78D28AD507AF}\\SymCUW.exe"="SymCUW"
[HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Program Files\\Fichiers communs\\Symantec Shared\\SymSetup\\{5AA2CD16-706F-41f3-87C5-2B5A031F2B3B}_10_2_0_30\\{5AA2CD16-706F-41f3-87C5-2B5A031F2B3B}.exe"="Setup"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\Symantec\\LIVEUP~1\\DOWNLO~1\\Updt55\\DlayUpd2.exe"="DlayUpdt"
[HKEY_USERS\S-1-5-18\Software\Symantec]
[HKEY_USERS\S-1-5-18\Software\Symantec\PIF]
[HKEY_USERS\S-1-5-18\Software\Symantec\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}]
[HKEY_USERS\S-1-5-18\Software\Symantec\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEngine]
*******************
[Fichier]
*******************
c:\Documents and Settings\All Users\Application Data\Symantec
c:\Documents and Settings\NetworkService\Application Data\Symantec
*********************
[Même date]
*********************
[R‚pertoire ] --- REP ---> C:\Program Files\Files
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
Je vais maintenant relancer le PC en mode sans echec et lancer Malware et antivir parce que la MaJ a marche.
A++
Et je vais essayer de trouver un moyen de te remettre la médaille de la patience :) | Sais tu naviguer dans le Registre?
Les manipulations proposées ont été testées de nombreuses fois sans problèmes. Mais toute infection, une fois installée, peut causer des dommages sur l'ordinateur.
La désinfection peut aussi dans certains cas, entraîner des anomalies de fonctionnements.
tout vient à point à qui sait attendre | 49 pim4012, le 16 aoû 2008 à 13:05:19J apprends vite. :)
Sérieusement Je pense pouvoir le faire.
(j'ai changé de PC, mon portable tourne toujours avec Antivir en mode sans échec)
A la fin du scan je relancerai en mode normal pour toucher au registre.
Pour info, 2 fichiers infectés trouvés par Malware, ainsi que 1 dossier.
A++ | Suis ce tutoriel et sauvegarde ton Registre
http://forum.pcastuces.com/tuto_erunt-f31s5.htm
démarrer/éxécuter
tape regedit
tu arrives dans le Registre
tu suis l'arborescence et tu supprimes les Hkey suivantes
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{E39D1C81-7E76-4d84-9F25-E2CC76EC050B ==> clic droit sur le dossier /supprimer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{54635C92-DFAF-4A99-8802-92FB068A6154==> clic droit sur le dossier /supprimer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus==> clic droit sur le dossier /supprimer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall==> clic droit sur le dossier /supprimer
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec==> clic droit sur le dossier /supprimer
HKEY_USERS\.DEFAULT\Software\Symantec==> clic droit sur le dossier /supprimer
HKEY_USERS\S-1-5-21-3973017210-2176535016-2082766343-1005\Software\Local AppWizard-Generated Applications\Symantec_Norton_Internet_Security_2007.[Keygen].updated-fixed.Release.01-2007==> clic droit sur le dossier /supprimer
HKEY_USERS\S-1-5-18\Software\Symantec==> clic droit sur le dossier /supprimer
recherche et supprime
c:\Documents and Settings\All Users\Application Data\Symantec
c:\Documents and Settings\NetworkService\Application Data\Symantec
poste un rapport hijack this pour contrôle
comment va ton PC?
Les manipulations proposées ont été testées de nombreuses fois sans problèmes. Mais toute infection, une fois installée, peut causer des dommages sur l'ordinateur.
La désinfection peut aussi dans certains cas, entraîner des anomalies de fonctionnements.
tout vient à point à qui sait attendre | 51 pim4012, le 16 aoû 2008 à 23:40:31Merci beaucoup pour toutes ces aides.
Mon PC va beaucoup mieux.
Il est plus rapide et tout semble aller correctement.
Je te remercie beaucoup.
Juste pour ma culture, ca fait quoi de modifier la base de registre ? C'est supprimer manuellement dans les entrailles de mon cher PC ? (je viens de le faire)
Je n'ai pas réussi à supprimer le repertoire c:\Documents and Settings\All Users\Application Data\Symantec parce que le fichier quarantine est contenu dedans.
Voici le rapport hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:34:09, on 16/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Creative\Shared Files\CTSched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\basfipm.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/default.aspx?c=fr&l=fr&s=gen
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=fbi.emn.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CreativeTaskScheduler] "C:\Program Files\Creative\Shared Files\CTSched.exe" /logon
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [] C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.symantec.com/...
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
End of file - 7984 bytes
Concernant Antivir, il a planté à chaque fois a la fin de 3 scans (2 en ode sans échec, et un en mode normal). Mais il a quand meme considéré le scan comme complet dans son historique des évènements. Au total, il m'a trouvé 19 virus..... :)
Je sens que je touche au but et que le PC a retrouvé sa forme optimale :).
J'ai une dernière question : dans 3 semaines je retourne chez moi et je brancherai mon DD externe sur le portable.
Si je veux éviter de me faire pourrir le PC, qu'est ce qui est le mieux ? Lancer en mode sans echec pour analyser le DD externe ? |
| Pour symantec
essaie comme ceci
va dans le dossier quarantine et vide le puis essaie de supprimer le dossier en mode sans échec
tiens moi au courant, si tu n'y arrives pas, on le supprimera autrement
je pars en vacances ce soir, donc si possible de finir aujourd'hui, cela serait super...
pour ton DD externe, effectivement il faudra le scanner en mode sans échec et surtout éviter tant que cela ne sera pas fait de le lancer en double cliquant dessus, préférer, clic droit/ ouvrir
maintenant lance hijack this pour un scan et coche ces lignes
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=fbi.emn.fr:3128 ==> sauf si tu connais et que tu as toi même fait cela
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll ==>pas très utile, à ton choix
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll ==>pas très utile, à ton choix
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" ==>pas très utile, à ton choix
O4 - HKLM\..\Run: [CreativeTaskScheduler] "C:\Program Files\Creative\Shared Files\CTSched.exe" /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart ==>pas très utile, à ton choix
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized ==>pas très utile, à ton choix
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background ==>pas très utile, à ton choix
O4 - HKCU\..\RunOnce: [] C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.symantec.com/...
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (file missing)
ferme toutes tes applications sauf hijack this et coupe internet et clique sur fix checked
Faire un Scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
poster le rapport ici ensuite
http://www.bitdefender.fr/
En bas, à gauche de la fenêtre, clique sur Bit Defender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte
La fenêtre change encore, clique sur Scanner
Les signatures se chargent, etc.
Les manipulations proposées ont été testées de nombreuses fois sans problèmes. Mais toute infection, une fois installée, peut causer des dommages sur l'ordinateur.
La désinfection peut aussi dans certains cas, entraîner des anomalies de fonctionnements.
tout vient à point à qui sait attendre |
| 53 pim4012, le 17 aoû 2008 à 14:38:52Je suis en train de faire le scan en ligne.
Merci encore.
Des que j'ai le résultat je te le communiquerai.
Bonnes vacances si tu es déja parti.
Ok pour Hijack, c'est fait.
Je dois essayer de supprimer quarantine en mode sans échec parce que en normal l'accès est refusé.
A++ |
| Je pars dans quelques minutes alors si tout va bien maintenant fais ceci
ceci est un texte générique pour tous utilisateurs
pour ta sécurité et afin de ne plus être aussi gravement infecté
1/
vérifie que ta version de java soit bien à jour, il faut le faire pour éviter les failles par lesquelles les virus (Vundo entre autres s'engouffrent)
Pour suivre l'évolution des mises à jour des logiciels de protection ainsi que de Java, je te conseille de regarder ici : http://forum.pcastuces.com/sujet.asp?f=25&s=25842
Si elle ne l’est pas…
· Télécharge la dernière version de Java Runtime Environment (JRE) 6.
· Descends sur la page jusqu'à "Java Runtime Enviroinment (JRE) 6, The Java SE Runtime Environment (JRE) allows end-users to run Java applications".
· Clique sur "Download", à droite. Coche la case et accepte la licence
· Clique sur le lien pour télécharger l'installation hors ligne [Windows] et enregistre le fichier sur Ton Bureau
· Ferme tous tes programmes (surtout les navigateurs Internet)
· Démarrer => Panneau de configuration => Ajout / suppression de programmes et désinstalle toutes les anciennes versions de JAVA
· Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)". Clique sur le bouton "modifier / supprimer"
· Répète autant de fois que nécessaire pour enlever toutes les autres versions de JAVA
· Redémarre l’ordinateur
· Après le redémarrage, clique sur jre-6-windowsi586.exe pour installer la nouvelle version.
· Suis les instructions à l'écran.
2/
vérifie également, toujours pour éviter les failles, que ta version d'Adobe soit aussi à jour
3/
vérifier que Internet Explorer est à jour aussi, nous en sommes à IE7,
à faire également, toujours pour la même raison
4/
Devant la recrudescence des infections par MSN, paramètre celui ci de façon plus sécuritaire !
un tuto pour te guider dans ce paramétrage
http://forum.zebulon.fr/infection-par-msn-ou-wlm-t130590.html
Maintenant il te reste ceci à effectuer
1/
Supprime tous les outils utilisés:
Supprime aussi tous les rapports obtenus!
Tu peux néanmoins conserver Ccleaner et malwarebyte, mis à jour régulièrement, ils te serviront, l'un, Ccleaner, pour le nettoyage quotidien de ton PC, l'autre, malwarebyte, pour la recherche d'éventuelles infections...
2/
Restauration système
Désactive ta restauration
Clique droit sur poste de travail/propriétés/onglet Restauration du système/coche la case désactiver la restauration, appliquer, OK
Redémarre ton PC
Réactive ta restauration
Clique droit sur poste de travail/propriétés/ onglet Restauration du système /décoche la case désactiver la restauration, appliquer, OK
Redémarre ton PC
3/
Nettoyage et Défragmentation de tes Disques
Nettoyage
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général"
Clique sur le bouton "nettoyage de disque", OK
tu le fais pour chacun de tes disques
Vérifications des erreurs
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases
réparer automatiquement les erreurs...
rechercher et tenter une récupération...
Démarrer, ok
tu le fais pour chacun de tes disques
ensuite toujours dans le même onglet tu choisis
Défragmentation
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter». OK
tu le fais pour chacun de tes disques
==>
Tu as été infecté, et je pense qu'au travers des différentes manoeuvres données, tu as compris que tu étais mal protégé...
Je te conseille donc de lire attentivement ce qui suit et de suivre les conseils prodigués
==>
Tu trouveras sur ce lien les différentes mises à jour de sécurité à effectuer, suivant les logiciels que tu possèdes.
http://forum.pcastuces.com/sujet.asp?f=25&s=25842
==>
La protection de ton Pc
La sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...
N'oublie pas que la meilleure protection se tient entre le clavier et l'écran...
Outre la parfaite mise à jour du système d'exploitation,
Désormais, pour surfer tranquillement et sans soucis sur "le Net", il faut se protéger au maximum!
Pour cela il faut :
1. en résident : Il est résident sur ton PC, c'est à dire qu'il fonctionne dès la mise en route de ton Système.
/- un bon antivirus, gratuit ou payant, mis régulièrement à jour, qui te protège en temps réel!
/- un pare feu autre que celui fourni par Windows, comme Zone Alarm ou Kerio qui te protège aussi en temps réel!
/- un anti spyware efficace, type Spybot Search and Destroy, avec sa protection résidente, Tea Timer, activée!!
Tu Scannes ton PC toutes les semaines environ avec, après l'avoir mis à jour, et tu as aussi sa protection en temps réel qui te protège.
2. pour Scanner régulièrement ton PC
/- un anti trojan efficace. Je te conseille MalwareByte
Voir ici son tutoriel
http://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
3. un logiciel comme Spyware Blaster qui empêche l'installation d'ActiveX nuisibles.
Il faut régulièrement le mettre à jour pour inscrire les ActiveX dangereux dans sa base de données, et ainsi être protégé contre eux, puisque son rôle est d'empêcher leur installation.
4. un bon navigateur tel Firefox ou Opera pour remplacer IE, que tu ne conserves que pour effectuer les mises à jour de Windows!
Tu trouveras dans ce tuto, "Sécuriser son PC de Philae", de quoi satisfaire tous tes désirs en matière de logiciels gratuits et performants ainsi que des conseils efficaces de prévention.
http://forum.pcastuces.com/sujet.asp?f=25&s=25892
dans celui-ci, tesgaz t'explique les risques du P2P
http://forum.zebulon.fr/index.php?showtopic=85544
dans celui-là, les risques du crack
http://forum.zebulon.fr/index.php?showtopic=93281
Nous voulons aider avec de plus en plus d'efficacité et lutter contre les malwares pour qu'enfin tout le monde puisse surfer tranquille !
Avec un peu de prévention, il est possible d'être à l'abri des menaces !
S'il te plaît, fais passer le mot autour de toi !
S'il te plaît, s'il y a des internautes infectés autour de toi, envoie-les-nous sur ce forum !
Une bonne protection permet d'être à abri ! L'ennuyeux est que la protection vaut ce que vaut le maillon le plus faible et donc, il ne faut rien oublier!
==>
bon surf en sécurité!!
Les manipulations proposées ont été testées de nombreuses fois sans problèmes. Mais toute infection, une fois installée, peut causer des dommages sur l'ordinateur.
La désinfection peut aussi dans certains cas, entraîner des anomalies de fonctionnements.
tout vient à point à qui sait attendre |
|
|
|
|
|
|
|
|
|
|
Anti trojan vista win 32 gosys
