[Virus] PC redémarre en boucle - Troyan ?
Fermé
Kfor
Messages postés
58
Date d'inscription
jeudi 6 juillet 2006
Statut
Membre
Dernière intervention
14 octobre 2019
-
12 sept. 2006 à 18:47
kfor - 10 nov. 2006 à 18:53
kfor - 10 nov. 2006 à 18:53
A voir également:
- [Virus] PC redémarre en boucle - Troyan ?
- Benchmark pc - Guide
- Reinitialiser pc - Guide
- Pc lent - Guide
- Whatsapp pc - Télécharger - Messagerie
- Double ecran pc - Guide
12 réponses
Utilisateur anonyme
12 sept. 2006 à 21:18
12 sept. 2006 à 21:18
Salut,
fais ça en mode sans echec si en mode normal tu peux pas y acceder:
Dans "executer" tape: services.msc ,cherches cette ligne et régle la sur "désactivé"
Network Winfst Service
Clic sur C:, Windows, System32, cherche et supprime ces dossiers:
_zskwrkni04IRCVQ
_zskwrkni04
Clic sur rechercher, puis cherche et supprime ces fichiers si présent:
winfst.exe
jucshed.exe
mcswin.exe
**Mode sans echec:
Si un fichier persiste lors de la suppression fais ceci:
-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche f8(ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement
Dès que c'est fait remets un rapport hijackthis stp
fais ça en mode sans echec si en mode normal tu peux pas y acceder:
Dans "executer" tape: services.msc ,cherches cette ligne et régle la sur "désactivé"
Network Winfst Service
Clic sur C:, Windows, System32, cherche et supprime ces dossiers:
_zskwrkni04IRCVQ
_zskwrkni04
Clic sur rechercher, puis cherche et supprime ces fichiers si présent:
winfst.exe
jucshed.exe
mcswin.exe
**Mode sans echec:
Si un fichier persiste lors de la suppression fais ceci:
-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche f8(ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement
Dès que c'est fait remets un rapport hijackthis stp
Bonjour,
Merci pour tes instructions. J'ai bien fait tout ça, mais il y a toujours un redémarrage en boucle...
Voilà le log Hijack :
Logfile of HijackThis v1.99.1
Scan saved at 11:45:57, on 22/09/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [javastr] C:\WINNT\System32\jucshed.exe
O4 - HKLM\..\Run: [ÿ_zskVAQWSAGOB_] C:\WINNT\System32\_zskwrkni04IRCVQ\_BOGASWQAV.exe
O4 - HKLM\..\Run: [sysval] C:\WINNT\mcswin.exe
O4 - HKLM\..\Run: [ÿ_zskry_mcktfv_xrpji[40inkrwksz_] c:\winnt\system32\_zskwrkni04[ijprx_vftkcm_yr.exe
O4 - HKLM\..\RunServices: [javastr] C:\WINNT\System32\jucshed.exe
O4 - HKLM\..\RunServices: [ÿ_zskVAQWSAGOB_] C:\WINNT\System32\_zskwrkni04IRCVQ\_BOGASWQAV.exe
O4 - HKLM\..\RunServices: [sysval] C:\WINNT\mcswin.exe
O4 - HKLM\..\RunServices: [ÿ_zskry_mcktfv_xrpji[40inkrwksz_] c:\winnt\system32\_zskwrkni04[ijprx_vftkcm_yr.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.kodakgallery.fr/
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://games.pogo.com/online2/pogo/zuma/popcaploader_v5.cab
O16 - DPF: {FA9740A2-5802-42E2-B509-81186EEB3C42} (WABControl Class) - https://www.linkedin.com/cab/wabctrl.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Merci encore pour ton aide !
Kfor
Merci pour tes instructions. J'ai bien fait tout ça, mais il y a toujours un redémarrage en boucle...
Voilà le log Hijack :
Logfile of HijackThis v1.99.1
Scan saved at 11:45:57, on 22/09/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [javastr] C:\WINNT\System32\jucshed.exe
O4 - HKLM\..\Run: [ÿ_zskVAQWSAGOB_] C:\WINNT\System32\_zskwrkni04IRCVQ\_BOGASWQAV.exe
O4 - HKLM\..\Run: [sysval] C:\WINNT\mcswin.exe
O4 - HKLM\..\Run: [ÿ_zskry_mcktfv_xrpji[40inkrwksz_] c:\winnt\system32\_zskwrkni04[ijprx_vftkcm_yr.exe
O4 - HKLM\..\RunServices: [javastr] C:\WINNT\System32\jucshed.exe
O4 - HKLM\..\RunServices: [ÿ_zskVAQWSAGOB_] C:\WINNT\System32\_zskwrkni04IRCVQ\_BOGASWQAV.exe
O4 - HKLM\..\RunServices: [sysval] C:\WINNT\mcswin.exe
O4 - HKLM\..\RunServices: [ÿ_zskry_mcktfv_xrpji[40inkrwksz_] c:\winnt\system32\_zskwrkni04[ijprx_vftkcm_yr.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.kodakgallery.fr/
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://games.pogo.com/online2/pogo/zuma/popcaploader_v5.cab
O16 - DPF: {FA9740A2-5802-42E2-B509-81186EEB3C42} (WABControl Class) - https://www.linkedin.com/cab/wabctrl.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Merci encore pour ton aide !
Kfor
Salut,
regarde dans ton pare-feu tu dois avoir des lignes pas très correct refuse leurs l'accès
Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp
https://www.bitdefender.com/toolbox/
Puis ça:
telecharge ça:
http://download.bleepingcomputer.com/sUBs/combofix.exe
appuyes sur "Y" pour continuer
Attends quelques minutes..un rapport va s'ouvrir enregistre son contenu, puis copie et colle le sur ici
A++
regarde dans ton pare-feu tu dois avoir des lignes pas très correct refuse leurs l'accès
Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp
https://www.bitdefender.com/toolbox/
Puis ça:
telecharge ça:
http://download.bleepingcomputer.com/sUBs/combofix.exe
appuyes sur "Y" pour continuer
Attends quelques minutes..un rapport va s'ouvrir enregistre son contenu, puis copie et colle le sur ici
A++
Le problème c'est qu'en mode sans échec je ne peux pas accéder à Internet pour faire le scan en ligne.
Juste une précision (je ne sais pas si ça va plus t'éclairer, mais bon...), mon système est Windows 2000 NT.
Au niveau du pare-feu (ZoneLabs), j'ai bloqué les programmes suivants :
- a.exe
- A~NSISu_.exe
- a2upd.exe
- expl0rer.exe
- msw32.pif
- win32SSR.exe
Après redémarrage, c'est toujours le même problème de redémarrage en boucle...
Je te passe donc juste le rapport avec combofix:
Lanterne - ven. 22/09/2006 15:34:39,11 Service Pack 2
ComboFix 06.09.21 - Running from: "G:\"
((((((((((((((((((((((((((((((( Files Created from 2006-08-22 to 2006-09-22 ))))))))))))))))))))))))))))))))))
No new files created in this timespan
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
[COLOR=RED][B]Rootkit driver pe386 is present. A rootkit scan is required[/B][/COLOR]
2006-09-02 16:36 -------- d-------- C:\Program Files\SpeedFan
2006-09-02 16:12 -------- d-------- C:\Program Files\SiSoftware
2006-07-03 01:18 2721 --a------ C:\opitpqa.exe
2006-07-03 01:13 1232 --a------ C:\WINNT\system32\TheMatrixHasYou.exe
2006-07-03 01:12 75776 --a------ C:\iqhd.exe
2006-07-03 01:12 67584 --a------ C:\wvyqv.exe
2006-07-03 01:12 61988 --a------ C:\WINNT\system32\lzx32.sys
2006-07-03 01:12 4125 --a------ C:\Program Files\eaujskef.exe
2006-07-03 01:12 3024 --a------ C:\Program Files\secure32.html
2006-07-03 01:12 16384 --a------ C:\ujpmtd.exe
2006-07-03 01:12 1024 --a------ C:\jjer.exe
2006-07-02 15:28 175616 --a------ C:\WINNT\system32\BOOTCFG64.EXE
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"Synchronization Manager"="mobsync.exe /logon"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"NeroFilterCheck"="C:\\WINNT\\system32\\NeroCheck.exe"
"javastr"="C:\\WINNT\\System32\\jucshed.exe"
"ÿ_zskVAQWSAGOB_"="C:\\WINNT\\System32\\_zskwrkni04IRCVQ\\_BOGASWQAV.exe"
"sysval"="C:\\WINNT\\mcswin.exe"
"ÿ_zskry_mcktfv_xrpji[40inkrwksz_"="c:\\winnt\\system32\\_zskwrkni04[ijprx_vftkcm_yr.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"javastr"="C:\\WINNT\\System32\\jucshed.exe"
"ÿ_zskVAQWSAGOB_"="C:\\WINNT\\System32\\_zskwrkni04IRCVQ\\_BOGASWQAV.exe"
"sysval"="C:\\WINNT\\mcswin.exe"
"ÿ_zskry_mcktfv_xrpji[40inkrwksz_"="c:\\winnt\\system32\\_zskwrkni04[ijprx_vftkcm_yr.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3c,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"javastr"="C:\\WINNT\\System32\\jucshed.exe"
"ÿ_zskVAQWSAGOB_"="C:\\WINNT\\System32\\_zskwrkni04IRCVQ\\_BOGASWQAV.exe"
"sysval"="C:\\WINNT\\mcswin.exe"
"ÿ_zskry_mcktfv_xrpji[40inkrwksz_"="c:\\winnt\\system32\\_zskwrkni04[ijprx_vftkcm_yr.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll
Completion time: Fri 2006-09-22 15:34:55.45
ComboFix.txt
Merci encore pour ton aide !
Kfor
Juste une précision (je ne sais pas si ça va plus t'éclairer, mais bon...), mon système est Windows 2000 NT.
Au niveau du pare-feu (ZoneLabs), j'ai bloqué les programmes suivants :
- a.exe
- A~NSISu_.exe
- a2upd.exe
- expl0rer.exe
- msw32.pif
- win32SSR.exe
Après redémarrage, c'est toujours le même problème de redémarrage en boucle...
Je te passe donc juste le rapport avec combofix:
Lanterne - ven. 22/09/2006 15:34:39,11 Service Pack 2
ComboFix 06.09.21 - Running from: "G:\"
((((((((((((((((((((((((((((((( Files Created from 2006-08-22 to 2006-09-22 ))))))))))))))))))))))))))))))))))
No new files created in this timespan
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
[COLOR=RED][B]Rootkit driver pe386 is present. A rootkit scan is required[/B][/COLOR]
2006-09-02 16:36 -------- d-------- C:\Program Files\SpeedFan
2006-09-02 16:12 -------- d-------- C:\Program Files\SiSoftware
2006-07-03 01:18 2721 --a------ C:\opitpqa.exe
2006-07-03 01:13 1232 --a------ C:\WINNT\system32\TheMatrixHasYou.exe
2006-07-03 01:12 75776 --a------ C:\iqhd.exe
2006-07-03 01:12 67584 --a------ C:\wvyqv.exe
2006-07-03 01:12 61988 --a------ C:\WINNT\system32\lzx32.sys
2006-07-03 01:12 4125 --a------ C:\Program Files\eaujskef.exe
2006-07-03 01:12 3024 --a------ C:\Program Files\secure32.html
2006-07-03 01:12 16384 --a------ C:\ujpmtd.exe
2006-07-03 01:12 1024 --a------ C:\jjer.exe
2006-07-02 15:28 175616 --a------ C:\WINNT\system32\BOOTCFG64.EXE
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"Synchronization Manager"="mobsync.exe /logon"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"NeroFilterCheck"="C:\\WINNT\\system32\\NeroCheck.exe"
"javastr"="C:\\WINNT\\System32\\jucshed.exe"
"ÿ_zskVAQWSAGOB_"="C:\\WINNT\\System32\\_zskwrkni04IRCVQ\\_BOGASWQAV.exe"
"sysval"="C:\\WINNT\\mcswin.exe"
"ÿ_zskry_mcktfv_xrpji[40inkrwksz_"="c:\\winnt\\system32\\_zskwrkni04[ijprx_vftkcm_yr.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"javastr"="C:\\WINNT\\System32\\jucshed.exe"
"ÿ_zskVAQWSAGOB_"="C:\\WINNT\\System32\\_zskwrkni04IRCVQ\\_BOGASWQAV.exe"
"sysval"="C:\\WINNT\\mcswin.exe"
"ÿ_zskry_mcktfv_xrpji[40inkrwksz_"="c:\\winnt\\system32\\_zskwrkni04[ijprx_vftkcm_yr.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3c,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"javastr"="C:\\WINNT\\System32\\jucshed.exe"
"ÿ_zskVAQWSAGOB_"="C:\\WINNT\\System32\\_zskwrkni04IRCVQ\\_BOGASWQAV.exe"
"sysval"="C:\\WINNT\\mcswin.exe"
"ÿ_zskry_mcktfv_xrpji[40inkrwksz_"="c:\\winnt\\system32\\_zskwrkni04[ijprx_vftkcm_yr.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll
Completion time: Fri 2006-09-22 15:34:55.45
ComboFix.txt
Merci encore pour ton aide !
Kfor
Clic sur demarrer, rechercher ,cherche et supprime ces fichiers:
opitpqa.exe
TheMatrixHasYou.exe
iqhd.exe
wvyqv.exe
lzx32.sys
eaujskef.exe
secure32.html
ujpmtd.exe
jjer.exe
BOOTCFG64.EXE
mcswin.exe
Fait ceci:
Télécharge SmitfraudFix (enregistre le sur le "bureau")
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
décompresse SmitfraudFix
Ouvre le dossier "SmitfraudFix" et double clic sur "Smitfraudfix.cmd", choisit l 'option 2 et tu réponds oui à tout.
Copie/colle le rapport sur le forum stp.
Puis
Télécharges Blacklight et sauvegarde le sur ton bureau.
https://www.f-secure.com/en
Double cliques sur " blbeta.exe " et acceptes la licence; clic sur "Scan" puis "Next"
Un rapport, va se créer sur ton bureau "fslb-....."
Copies et colles le contenu de ce rapport ici.
Ne touche à rien d'autre!
opitpqa.exe
TheMatrixHasYou.exe
iqhd.exe
wvyqv.exe
lzx32.sys
eaujskef.exe
secure32.html
ujpmtd.exe
jjer.exe
BOOTCFG64.EXE
mcswin.exe
Fait ceci:
Télécharge SmitfraudFix (enregistre le sur le "bureau")
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
décompresse SmitfraudFix
Ouvre le dossier "SmitfraudFix" et double clic sur "Smitfraudfix.cmd", choisit l 'option 2 et tu réponds oui à tout.
Copie/colle le rapport sur le forum stp.
Puis
Télécharges Blacklight et sauvegarde le sur ton bureau.
https://www.f-secure.com/en
Double cliques sur " blbeta.exe " et acceptes la licence; clic sur "Scan" puis "Next"
Un rapport, va se créer sur ton bureau "fslb-....."
Copies et colles le contenu de ce rapport ici.
Ne touche à rien d'autre!
Bonjour !
J'ai bien trouvé tous les fichiers que tu m'as indiqué.
Voici le log SmithfraudFix :
SmitFraudFix v2.104
Rapport fait à 12:36:31,54, ven. 06/10/2006
Executé à partir de C:\Documents and Settings\Lanterne\Mes documents\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\uniq supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Ensuite, j'ai réussi à redémarrer en mode normal (pour la première fois depuis 4 mois !!!! Alleluia !), et j'ai pu passer Blacklight :
10/06/06 12:42:48 [Info]: BlackLight Engine 1.0.47 initialized
10/06/06 12:42:48 [Info]: OS: 5.0 build 2195 (Service Pack 2)
10/06/06 12:42:48 [Note]: 7019 4
10/06/06 12:42:48 [Note]: 7005 0
10/06/06 12:44:01 [Note]: 7006 0
10/06/06 12:44:01 [Note]: 7011 972
10/06/06 12:44:02 [Note]: 7026 0
10/06/06 12:44:02 [Note]: 7026 0
10/06/06 12:44:23 [Note]: FSRAW library version 1.7.1020
10/06/06 12:45:29 [Info]: Hidden file: c:\WINNT\system32:lzx32.sys
10/06/06 12:45:29 [Note]: 7002 0
10/06/06 12:45:29 [Note]: 7003 1
10/06/06 12:47:27 [Note]: 7007 0
Est-ce que ça sent meilleur maintenant ?
Merci pour ton aide encore !
Kfor
J'ai bien trouvé tous les fichiers que tu m'as indiqué.
Voici le log SmithfraudFix :
SmitFraudFix v2.104
Rapport fait à 12:36:31,54, ven. 06/10/2006
Executé à partir de C:\Documents and Settings\Lanterne\Mes documents\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\uniq supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Ensuite, j'ai réussi à redémarrer en mode normal (pour la première fois depuis 4 mois !!!! Alleluia !), et j'ai pu passer Blacklight :
10/06/06 12:42:48 [Info]: BlackLight Engine 1.0.47 initialized
10/06/06 12:42:48 [Info]: OS: 5.0 build 2195 (Service Pack 2)
10/06/06 12:42:48 [Note]: 7019 4
10/06/06 12:42:48 [Note]: 7005 0
10/06/06 12:44:01 [Note]: 7006 0
10/06/06 12:44:01 [Note]: 7011 972
10/06/06 12:44:02 [Note]: 7026 0
10/06/06 12:44:02 [Note]: 7026 0
10/06/06 12:44:23 [Note]: FSRAW library version 1.7.1020
10/06/06 12:45:29 [Info]: Hidden file: c:\WINNT\system32:lzx32.sys
10/06/06 12:45:29 [Note]: 7002 0
10/06/06 12:45:29 [Note]: 7003 1
10/06/06 12:47:27 [Note]: 7007 0
Est-ce que ça sent meilleur maintenant ?
Merci pour ton aide encore !
Kfor
Utilisateur anonyme
6 oct. 2006 à 18:05
6 oct. 2006 à 18:05
Salut,
ok, c'est bon, tu peux supprimer Smitfraudfix et Blacklight
Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp
https://www.bitdefender.com/toolbox/
ok, c'est bon, tu peux supprimer Smitfraudfix et Blacklight
Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp
https://www.bitdefender.com/toolbox/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Le PC démarre bien normalement, par contre je ne peux toujours pas accèder au Net. D'ailleurs la page d'accueil Internet Explorer est par défaut une page microsoft, que je ne peux pas changer (même en allant dans les settings et en entrant l'adresse d'une autre page par défaut, cela n'est pas pris en compte à la nouvelle ouverture d'Internet Explorer).
Je précise qu'en connectant un autre PC sur mon réseau, cela fonctionne normalement, il n'y a donc pas de problème de connexion et cela vient bien du PC en lui-même...
J'ai refait un hijack, faute de mieux...:
Logfile of HijackThis v1.99.1
Scan saved at 22:33:26, on 15/10/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [javastr] C:\WINNT\System32\jucshed.exe
O4 - HKLM\..\Run: [ÿ_zskVAQWSAGOB_] C:\WINNT\System32\_zskwrkni04IRCVQ\_BOGASWQAV.exe
O4 - HKLM\..\Run: [sysval] C:\WINNT\mcswin.exe
O4 - HKLM\..\Run: [ÿ_zskry_mcktfv_xrpji[40inkrwksz_] c:\winnt\system32\_zskwrkni04[ijprx_vftkcm_yr.exe
O4 - HKLM\..\RunServices: [javastr] C:\WINNT\System32\jucshed.exe
O4 - HKLM\..\RunServices: [ÿ_zskVAQWSAGOB_] C:\WINNT\System32\_zskwrkni04IRCVQ\_BOGASWQAV.exe
O4 - HKLM\..\RunServices: [sysval] C:\WINNT\mcswin.exe
O4 - HKLM\..\RunServices: [ÿ_zskry_mcktfv_xrpji[40inkrwksz_] c:\winnt\system32\_zskwrkni04[ijprx_vftkcm_yr.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://games.pogo.com/online2/pogo/zuma/popcaploader_v5.cab
O16 - DPF: {FA9740A2-5802-42E2-B509-81186EEB3C42} (WABControl Class) - https://www.linkedin.com/cab/wabctrl.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: btcfg64(btcfg64) (btcfg64) - Unknown owner - C:\WINNT\system32\BOOTCFG64.EXE (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Merci pour tes idées !
Kfor
Le PC démarre bien normalement, par contre je ne peux toujours pas accèder au Net. D'ailleurs la page d'accueil Internet Explorer est par défaut une page microsoft, que je ne peux pas changer (même en allant dans les settings et en entrant l'adresse d'une autre page par défaut, cela n'est pas pris en compte à la nouvelle ouverture d'Internet Explorer).
Je précise qu'en connectant un autre PC sur mon réseau, cela fonctionne normalement, il n'y a donc pas de problème de connexion et cela vient bien du PC en lui-même...
J'ai refait un hijack, faute de mieux...:
Logfile of HijackThis v1.99.1
Scan saved at 22:33:26, on 15/10/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [javastr] C:\WINNT\System32\jucshed.exe
O4 - HKLM\..\Run: [ÿ_zskVAQWSAGOB_] C:\WINNT\System32\_zskwrkni04IRCVQ\_BOGASWQAV.exe
O4 - HKLM\..\Run: [sysval] C:\WINNT\mcswin.exe
O4 - HKLM\..\Run: [ÿ_zskry_mcktfv_xrpji[40inkrwksz_] c:\winnt\system32\_zskwrkni04[ijprx_vftkcm_yr.exe
O4 - HKLM\..\RunServices: [javastr] C:\WINNT\System32\jucshed.exe
O4 - HKLM\..\RunServices: [ÿ_zskVAQWSAGOB_] C:\WINNT\System32\_zskwrkni04IRCVQ\_BOGASWQAV.exe
O4 - HKLM\..\RunServices: [sysval] C:\WINNT\mcswin.exe
O4 - HKLM\..\RunServices: [ÿ_zskry_mcktfv_xrpji[40inkrwksz_] c:\winnt\system32\_zskwrkni04[ijprx_vftkcm_yr.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://games.pogo.com/online2/pogo/zuma/popcaploader_v5.cab
O16 - DPF: {FA9740A2-5802-42E2-B509-81186EEB3C42} (WABControl Class) - https://www.linkedin.com/cab/wabctrl.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: btcfg64(btcfg64) (btcfg64) - Unknown owner - C:\WINNT\system32\BOOTCFG64.EXE (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Merci pour tes idées !
Kfor
Utilisateur anonyme
17 oct. 2006 à 01:41
17 oct. 2006 à 01:41
Salut Kfor,
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [javastr] C:\WINNT\System32\jucshed.exe
O4 - HKLM\..\Run: [ÿ_zskVAQWSAGOB_] C:\WINNT\System32\_zskwrkni04IRCVQ\_BOGASWQAV.exe
O4 - HKLM\..\Run: [sysval] C:\WINNT\mcswin.exe
O4 - HKLM\..\Run: [ÿ_zskry_mcktfv_xrpji[40inkrwksz_] c:\winnt\system32\_zskwrkni04[ijprx_vftkcm_yr.exe
O4 - HKLM\..\RunServices: [javastr] C:\WINNT\System32\jucshed.exe
O4 - HKLM\..\RunServices: [ÿ_zskVAQWSAGOB_] C:\WINNT\System32\_zskwrkni04IRCVQ\_BOGASWQAV.exe
O4 - HKLM\..\RunServices: [sysval] C:\WINNT\mcswin.exe
O4 - HKLM\..\RunServices: [ÿ_zskry_mcktfv_xrpji[40inkrwksz_] c:\winnt\system32\_zskwrkni04[ijprx_vftkcm_yr.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://games.pogo.com/online2/pogo/zuma/popcaploader_v5.cab
O16 - DPF: {FA9740A2-5802-42E2-B509-81186EEB3C42} (WABControl Class) - https://www.linkedin.com/cab/wabctrl.cab
Clic sur "demarrer", "executer", tape: services.msc ,cherche dans la liste cette ligne, fais un clic droit dessus choisis "propriétés" et régle la sur "désactivé"
btcfg64
Clic sur poste de travail, C:, WinNt, system32 cherche et supprime ces dossiers:
zskwrkni04IRCVQ
zskwrkni04
Clic sur poste de travail, C:, WinNt, system32 cherche et supprime ce processus
mcswin.exe
**Si un fichier persiste lors de la suppression fais ceci:
-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement
Ouvre ton pare-feu ZoneAlarm et supprime toutes les lignes qu'il contient !
essaye de télécharger ce programme avec ton Pc qui fonctionne et de le mettre sur le Pc infecté
Fait ce nettoyage: (à faire réguliérement)
¤Telecharges et installes ceci:
CCleaner:
Ccleaner
dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes
¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"
A++
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [javastr] C:\WINNT\System32\jucshed.exe
O4 - HKLM\..\Run: [ÿ_zskVAQWSAGOB_] C:\WINNT\System32\_zskwrkni04IRCVQ\_BOGASWQAV.exe
O4 - HKLM\..\Run: [sysval] C:\WINNT\mcswin.exe
O4 - HKLM\..\Run: [ÿ_zskry_mcktfv_xrpji[40inkrwksz_] c:\winnt\system32\_zskwrkni04[ijprx_vftkcm_yr.exe
O4 - HKLM\..\RunServices: [javastr] C:\WINNT\System32\jucshed.exe
O4 - HKLM\..\RunServices: [ÿ_zskVAQWSAGOB_] C:\WINNT\System32\_zskwrkni04IRCVQ\_BOGASWQAV.exe
O4 - HKLM\..\RunServices: [sysval] C:\WINNT\mcswin.exe
O4 - HKLM\..\RunServices: [ÿ_zskry_mcktfv_xrpji[40inkrwksz_] c:\winnt\system32\_zskwrkni04[ijprx_vftkcm_yr.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://games.pogo.com/online2/pogo/zuma/popcaploader_v5.cab
O16 - DPF: {FA9740A2-5802-42E2-B509-81186EEB3C42} (WABControl Class) - https://www.linkedin.com/cab/wabctrl.cab
Clic sur "demarrer", "executer", tape: services.msc ,cherche dans la liste cette ligne, fais un clic droit dessus choisis "propriétés" et régle la sur "désactivé"
btcfg64
Clic sur poste de travail, C:, WinNt, system32 cherche et supprime ces dossiers:
zskwrkni04IRCVQ
zskwrkni04
Clic sur poste de travail, C:, WinNt, system32 cherche et supprime ce processus
mcswin.exe
**Si un fichier persiste lors de la suppression fais ceci:
-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement
Ouvre ton pare-feu ZoneAlarm et supprime toutes les lignes qu'il contient !
essaye de télécharger ce programme avec ton Pc qui fonctionne et de le mettre sur le Pc infecté
Fait ce nettoyage: (à faire réguliérement)
¤Telecharges et installes ceci:
CCleaner:
Ccleaner
dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes
¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"
A++
Salut !
Tout d'abord merci encore pour toutes tes réponses à mon problème, même si on n'arrive pas encore au bout, je vois déjà quelques améliorations puisque le redémarrage en boucle s'est arrêté ! C'est déjà ça...
Pour la suite, j'ai bien fait le Hijack et supprimé les lignes demandées.
Par contre, je n'ai pas trouvé les fichiers
zskwrkni04IRCVQ
zskwrkni04
mcswin.exe
...donc je ne les ai pas supprimés.
Ensuite, mon Zone Alarm ne fonctionnait plus , donc je l'ai désinstallé et j'ai essayé de le réinstaller, mais pas possible : j'ai un premier message d'erreur à l'installation (vsmon.exe - DLL introuvable), qui me dit "La bibliothèque de liaisons dynamique zpy.dll est introuvable sur le chemin spécifié..."
Puis un second message d'erreur (Programme d'installation de) qui me dit "Le programme d'installation ne peut pas fermer le service TrueVector. Fermez le service TrueVector pour poursuivre l'installation. Utilisez le gestionnaire de service pour fermer le service TrueVector, puis redémarrez le programme d'installation"
J'ai installé et fait tourner CCleaner, sans problème. Plus d'erreurs à la 3ème fois.
Voilà un nouveau Hijack, pour le plaisir ...
Logfile of HijackThis v1.99.1
Scan saved at 12:30:05, on 21/10/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
A +++
Kfor
Tout d'abord merci encore pour toutes tes réponses à mon problème, même si on n'arrive pas encore au bout, je vois déjà quelques améliorations puisque le redémarrage en boucle s'est arrêté ! C'est déjà ça...
Pour la suite, j'ai bien fait le Hijack et supprimé les lignes demandées.
Par contre, je n'ai pas trouvé les fichiers
zskwrkni04IRCVQ
zskwrkni04
mcswin.exe
...donc je ne les ai pas supprimés.
Ensuite, mon Zone Alarm ne fonctionnait plus , donc je l'ai désinstallé et j'ai essayé de le réinstaller, mais pas possible : j'ai un premier message d'erreur à l'installation (vsmon.exe - DLL introuvable), qui me dit "La bibliothèque de liaisons dynamique zpy.dll est introuvable sur le chemin spécifié..."
Puis un second message d'erreur (Programme d'installation de) qui me dit "Le programme d'installation ne peut pas fermer le service TrueVector. Fermez le service TrueVector pour poursuivre l'installation. Utilisez le gestionnaire de service pour fermer le service TrueVector, puis redémarrez le programme d'installation"
J'ai installé et fait tourner CCleaner, sans problème. Plus d'erreurs à la 3ème fois.
Voilà un nouveau Hijack, pour le plaisir ...
Logfile of HijackThis v1.99.1
Scan saved at 12:30:05, on 21/10/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\Lanterne\Mes documents\Hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
A +++
Kfor
Utilisateur anonyme
21 oct. 2006 à 12:31
21 oct. 2006 à 12:31
Salut,
ne te prend plus la tête avec ZoneAlarm, installe Kerio
Désactive le pare-feu de Windows(SP2) il ne sert à rien puis installe celui ci pour plus de sécurité
Kerio: (pare-feu, qui reste gratuit après la periode d'essai!)
Kerio
-tutoriel: pour configurer et comprendre l'utilisation de Kerio
https://kerio.probb.fr/
Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2(en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp
_Online Scanner
_Kaspersky Online Scanner
_My Computer
https://www.kaspersky.fr/downloads
A+++
ne te prend plus la tête avec ZoneAlarm, installe Kerio
Désactive le pare-feu de Windows(SP2) il ne sert à rien puis installe celui ci pour plus de sécurité
Kerio: (pare-feu, qui reste gratuit après la periode d'essai!)
Kerio
-tutoriel: pour configurer et comprendre l'utilisation de Kerio
https://kerio.probb.fr/
Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2(en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp
_Online Scanner
_Kaspersky Online Scanner
_My Computer
https://www.kaspersky.fr/downloads
A+++
Hello !
OK pour Kerio, par contre ma connection Internet ne fonctionne toujours pas, donc pas possible de faire un scan Online avec le PC infecté...
T'as une autre idée ?
Kfor
OK pour Kerio, par contre ma connection Internet ne fonctionne toujours pas, donc pas possible de faire un scan Online avec le PC infecté...
T'as une autre idée ?
Kfor
Voilà !
Lanterne - sam. 21/10/2006 14:31:15,69 Service Pack 2
ComboFix 06.10.19 - Running from: "G:\"
((((((((((((((((((((((((((((((( Files Created from 2006-09-21 to 2006-10-21 ))))))))))))))))))))))))))))))))))
No new files created in this timespan
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
[color=red][b]Rootkit driver pe386 is present. A rootkit scan is required[/b][/color]
2006-10-21 12:44 -------- d-a------ C:\Program Files\ewido anti-malware
2006-10-21 12:25 -------- d-------- C:\Program Files\Yahoo!
2006-10-21 12:18 -------- d-------- C:\Program Files\Zone Labs
2006-10-21 12:12 -------- d-------- C:\Program Files\Zone Alarm
2006-10-15 22:40 -------- d-------- C:\Program Files\WinRAR
2006-09-02 16:36 -------- d-------- C:\Program Files\SpeedFan
2006-09-02 16:12 -------- d-------- C:\Program Files\SiSoftware
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Synchronization Manager"="mobsync.exe /logon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"javastr"="C:\\WINNT\\System32\\jucshed.exe"
"ÿ_zskVAQWSAGOB_"="C:\\WINNT\\System32\\_zskwrkni04IRCVQ\\_BOGASWQAV.exe"
"sysval"="C:\\WINNT\\mcswin.exe"
"ÿ_zskry_mcktfv_xrpji[40inkrwksz_"="c:\\winnt\\system32\\_zskwrkni04[ijprx_vftkcm_yr.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Completion time: Sat 2006-10-21 14:31:46.28
C:\ComboFix.txt ... 06-10-21 14:31
C:\ComboFix2.txt ... 06-09-22 15:34
Merci
Lanterne - sam. 21/10/2006 14:31:15,69 Service Pack 2
ComboFix 06.10.19 - Running from: "G:\"
((((((((((((((((((((((((((((((( Files Created from 2006-09-21 to 2006-10-21 ))))))))))))))))))))))))))))))))))
No new files created in this timespan
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
[color=red][b]Rootkit driver pe386 is present. A rootkit scan is required[/b][/color]
2006-10-21 12:44 -------- d-a------ C:\Program Files\ewido anti-malware
2006-10-21 12:25 -------- d-------- C:\Program Files\Yahoo!
2006-10-21 12:18 -------- d-------- C:\Program Files\Zone Labs
2006-10-21 12:12 -------- d-------- C:\Program Files\Zone Alarm
2006-10-15 22:40 -------- d-------- C:\Program Files\WinRAR
2006-09-02 16:36 -------- d-------- C:\Program Files\SpeedFan
2006-09-02 16:12 -------- d-------- C:\Program Files\SiSoftware
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Synchronization Manager"="mobsync.exe /logon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"javastr"="C:\\WINNT\\System32\\jucshed.exe"
"ÿ_zskVAQWSAGOB_"="C:\\WINNT\\System32\\_zskwrkni04IRCVQ\\_BOGASWQAV.exe"
"sysval"="C:\\WINNT\\mcswin.exe"
"ÿ_zskry_mcktfv_xrpji[40inkrwksz_"="c:\\winnt\\system32\\_zskwrkni04[ijprx_vftkcm_yr.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Completion time: Sat 2006-10-21 14:31:46.28
C:\ComboFix.txt ... 06-10-21 14:31
C:\ComboFix2.txt ... 06-09-22 15:34
Merci
