virus trojan horse back door.irebot.jxRésolu/Fermé

Question

Bonjour, 

voilà ce matin avg a effectué un scan et il a trouvé le virus "trojan horse back door.irebot.jx " apparemment il est situé dans c:\system volume information 

pourriez vous m'aidez svp!

merci beaucoup

mansou

LilG · Answer

Bonjour c'est bien AVG antispyware 7.5.1.43 que tu posséde?

Si oui relance le scan en suivant au préalable ces instrucctions:

= Le lancer 
= Clic : Mise à jour 
------ 
= Dans ANALYSE ( en forme de loupe ) 
==> Paramètres ==> sous COMMENT REAGIR==>clic sur Actions recommandées ==>Quarantaine 
==> Clic : Analyse complète du système 
En fin de scan ( qui est assez long) 
==> Clic Appliquer toutes les actions <== ceci est Très important 
==> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau 
------- 
Copier/coller le rapport ( qui est sur le bureau) dans la réponse 

Si non télécharge ici==>https://www.01net.com/telecharger/


Installe le et suit les instructions ci dessus

LilG · Answer

Ok 

Télécharge Navilog==>http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Fait ceci:

= double-clic dessus pour l'installer et le lancer 
Quand installé 
= taper F 
= Appuyer sur une touche jusqu' arriver aux options 
= Choisir option 1 ( = taper 1 ) 
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes 

un rapport : fixnavi.txt 
dans ==> C : 
le copier/coller dans la réponse

LilG · Answer

Ok sa a l'ére clean derniére vérification par sécurité :)



Télécharge Hijackthis==>https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

Fait ceci:

= Clic-droit sur Hijackthis 
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip) 
= clic droit sur Hijackthis ( en forme de dynamite) ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important 
=Double-clic dessus 
= Clic Do a system scan and save the log 
= copier le rapport, le coller dans la réponse

LilG · Answer

Il ne reste que quelques entrées superflues (servent a rien) veut tu les enlevé ??

Je reviens et t'explique comment faire si tu le souhaite!

moK´s@ · Answer

salut lilg et  mansou31,

\Application Data\MessengerSkinner trouvé ! par navilog au post4!!!!

>
Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau. 

puis 

y reste :

O21 - SSODL: printers - {84F34403-47D0-4DE6-A2DF-59A0BC90F3ED} - libcintles3.dll (file missing)

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ! 

@+

LilG · Answer

Ah oui exact suit ce que vient de dire mOk'

mansou31 · Answer

Voilà les rapports 

merci merci merci 

SDFix: Version 1.94

Run by mansou on 31/07/2007 at 14:19

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\mansou\Bureau\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service 
Restoring Missing SharedAccess Service 

Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

C:\Documents and Settings\mansou
ew.txt  - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\StubInstaller.exe"="C:\StubInstaller.exe:*:Enabled:LimeWire swarmed installer"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\BitComet\BitComet.exe"="C:\Program Files\BitComet\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"
"C:\Program Files\Real\RealPlayer\realplay.exe"="C:\Program Files\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer"
"C:\Program Files\utorrent\utorrent.exe"="C:\Program Files\utorrent\utorrent.exe:*:Enabled:æTorrent"
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe"="C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:TrueVector Service"
"C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\Program Files\Yahoo!\Messenger\YServer.exe"="C:\Program Files\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\WINDOWS\system32\muzapp.exe"="C:\WINDOWS\system32\muzapp.exe:*:Enabled:MUZ AOD APP player"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\Grisoft\AVG Free\avginet.exe"="C:\Program Files\Grisoft\AVG Free\avginet.exe:*:Enabled:avginet.exe"
"C:\Program Files\Grisoft\AVG Free\avgamsvr.exe"="C:\Program Files\Grisoft\AVG Free\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\Program Files\Grisoft\AVG Free\avgcc.exe"="C:\Program Files\Grisoft\AVG Free\avgcc.exe:*:Enabled:avgcc.exe"
"C:\Program Files\Grisoft\AVG Free\avgemc.exe"="C:\Program Files\Grisoft\AVG Free\avgemc.exe:*:Enabled:avgemc.exe"
"C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Internet Explorer\iexplore.exe"="C:\Program Files\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------

Backups Folder: - C:\DOCUME~1\mansou\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Documents and Settings\mansou\Local Settings\Application Data\Microsoft\Messenger\mansouriam@hotmail.com\Sharing Folders\knassera@hotmail.com\Thumbs.db
C:\Documents and Settings\mansou\Mes documents\pack office\MSDE2000\SQLRESLD.DLL
C:\Program Files\eRightSoft\SUPER\cygwin1.dll
C:\Program Files\eRightSoft\SUPER\cygz.dll
C:\Program Files\eRightSoft\SUPER\_Setup.dll
C:\Program Files\eRightSoft\SUPER\mencoder\14_43260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\28_83260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\atrc3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\cook3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\ddnt3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\dnet3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\drv13260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\drv23260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\drv33260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\drv43260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\dspr3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\ivvideo.dll
C:\Program Files\eRightSoft\SUPER\mencoder\qtmlClient.dll
C:\Program Files\eRightSoft\SUPER\mencoderaac.dll
C:\Program Files\eRightSoft\SUPER\mencodernco3260.dll
C:\Program Files\eRightSoft\SUPER\mencodernlt3260.dll
C:\Program Files\eRightSoft\SUPER\mencoderv103260.dll
C:\Program Files\eRightSoft\SUPER\mencoderv203260.dll
C:\Program Files\eRightSoft\SUPER\mencoderv303260.dll
C:\Program Files\eRightSoft\SUPER\mencoderv403260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\sipr3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder	okr3260.dll
C:\WINDOWS\system32\flvDX.dll
C:\WINDOWS\system32\msfDX.dll
C:\Program Files\eRightSoft\SUPER\Setup.exe
C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp
C:\Documents and Settings\mansou\Bureau\~WRL0422.tmp
C:\Documents and Settings\mansou\Mes documents\PERSO\~WRL0003.tmp
C:\WINDOWS\system32\config\default.tmp.LOG
C:\WINDOWS\system32\config\software.tmp.LOG
C:\WINDOWS\system32\config\system.tmp.LOG

                                 Finished 






log hitackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:32:55, on 31/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\MarkAny\ContentSafer\MAAgent.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijackthis\scan.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [MAAgent] C:\Program Files\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.1.14/cfweb_activex.camfrogweb.com-advanced-2.0.1.14_instmodule.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

mansou31 · Answer

que dois je faire maintenant?

MERCI

moK´s@ · Answer

re,

tu n´as pas posté le rapport de navilog option 2, tu l´as fais?

tu etais infecté par le photo album de msn?

passe ceci pour supprimer tes fichiers temporaires :

https://freewares-tutos.blogspot.com/2006/10/atf-cleaner.html

@+

moK´s@ · Answer

tu etais infecté par le photo album de msn au paravant?

mansou31 · Answer

oui j'avais un virus issue de msn mais grâce à ce site je pensais y avoir remedier 

qu'est ce qu'il en est maintenant?

mansou31 · Answer

aussi depuis que j'ai fait tout sa mon pc est devenu encore plus lent je suis juste sur le site de comment ca marche.net et il rame grave 

est ce que cela veut dire que j'ai encore un virus?

Merci pr ton aide moK's

moK´s@ · Answer

re,

des fois le site de comment ca marche plante un peu du a un nombre elevé de connections...

peux tu faire ceci :

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:

http://serveur1.archive-host.com/membres/up/1366464061/MSNFix.zip

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

@+

moK´s@ · Answer

bon c´est ok

peux tu remettre un hijack this stp

moK´s@ · Answer

avec hijack this coche ceci ;

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\RunOnce: [navilog1] C:\Program Files\Navilog1
avilog1.bat
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

quitte tes applications et navigateur et fix les lignes ci dessus.

connait tu ce site :

camfrogweb.com

si tu ne le connait pas et ne t´en sert pas coche aussi celle ci :

O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/

puis pase ces deux la :

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici

et 

 •Télécharge PCA (d'Evosla) < http://ww25.evosla.com/pca_cpt.php?agr=pca_securite > ,
•Décompresse-le sur ton " Bureau " au moyen d'un clic-droit (Extraire ici...),
Double-clic sur l'icône "pca.exe" ( en forme de grenade qui est sur le bureau ) pour le lancer.

1°- •Clique sur l'onglet "diagnostic du PC" puis "analyser".
•Laisse l'analyse se dérouler. Cela ne prend que quelques secondes.
•Clique sur "enregistrer le rapport" en bas à droite et sauvegarde-le sur le bureau.
•Le rapport va être positionné sur ton bureau "PCA_LOG.txt"
• Poste-le et supprime-le de ton bureau.

2°- Ensuite relance "pca.exe" ( qui est sur ton bureau )
- •Clique sur l'onglet " Analyse antivirus " ---> lance l'analyse "scanner"
- Enregistre le rapport ( en bas à droite ) sur le bureau
Clic sur [Nettoyer]
Poste le rapport mis sur ton bureau " PCA_SCAN-LOG.txt " » 

@+

mansou31 · Answer

VOILA LE RAPPORT  

31/07/2007 a 16:04:35,31 
 
*** Recherche des fichiers dans C: 
C:\StubInstaller.exe FOUND 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport ! 


mais qd je clic sur ton lien PC (d'esvota) sa me met nom et code utilisateur

moK´s@ · Answer

re,

bon laisse tomber pca, 

avec clean :

Redémarre en mode sans échec  : 

¤Démarre en mode sans échec :
Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5) 

Puis ouvre le dossier clean et ouvre clean.cmd et choisis l'option 2.
Redémarre normalement et poste le log clean. 

puis fais ceci :

* Télécharge combofix.exe (par sUBs) sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe     

* Double clique combofix.exe.
* Tape sur la touche 1 (Yes) pour démarrer le scan.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 


NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+

mansou31 · Answer

voila le log cclean 31/07/2007 a 16:15:24,95 *** Recherche des fichiers dans C: C:\StubInstaller.exe FOUND *** Recherche des fichiers dans C:\WINDOWS\ *** Recherche des fichiers dans C:\WINDOWS\system32 *** Recherche des fichiers dans C:\Program Files *** Fin du rapport ! voila le rapport ComboFix 07-07-31 - "mansou" 2007-07-31 16:24:20.1 [GMT 2:00] - NTFS Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.Vrai * Created a new restore point ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Program Files\video access activex object ((((((((((((((((((((((((( Files Created from 2007-06-28 to 2007-07-31 ))))))))))))))))))))))))))))))) 2007-07-31 16:22 51,200 --a------ C:\WINDOWS ircmd.exe 2007-07-31 14:56 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-07-31 14:18 d-------- C:\WINDOWS\ERUNT 2007-07-31 13:16 d-------- C:\Program Files\Navilog1 2007-07-31 12:36 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-07-30 23:39 d-------- C:\WINDOWS\pss 2007-07-30 20:18 d-------- C:\Hijackthis 2007-07-30 10:52 12,417,543 --------- C:\AVG7QT.DAT 2007-07-29 20:01 31,232 -r-hs---- C:\WINDOWS\system32\msfDX.dll 2007-07-29 20:01 163,328 -r-hs---- C:\WINDOWS\system32\flvDX.dll 2007-07-29 20:01 d-------- C:\Program Files\eRightSoft 2007-07-29 18:48 719,872 --a------ C:\WINDOWS\system32\devil.dll 2007-07-29 18:48 70,656 --a------ C:\WINDOWS\system32\yv12vfw.dll 2007-07-29 18:48 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll 2007-07-29 18:48 66,560 --a------ C:\WINDOWS\MOTA113.exe 2007-07-29 18:48 394,240 --a------ C:\WINDOWS\system32\Smab.dll 2007-07-29 18:48 318,976 --a------ C:\WINDOWS\system32\avisynth.dll 2007-07-29 18:48 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll 2007-07-29 18:48 240,128 --a------ C:\WINDOWS\system32\x.264.exe 2007-07-29 18:48 217,073 --a------ C:\WINDOWS\meta4.exe 2007-07-29 18:48 d-------- C:\Program Files\AviSynth 2.5 2007-07-29 16:52 61,440 --a------ C:\WINDOWS\system32\cygz.dll 2007-07-29 16:52 3,624,960 --a------ C:\WINDOWS\system32\mkgpmp.exe 2007-07-29 16:52 1,700,352 --a------ C:\WINDOWS\system32\gdiplus.dll 2007-07-29 16:52 1,295,582 --a------ C:\WINDOWS\system32\cygwin1.dll 2007-07-29 16:51 167 --a------ C:\WINDOWS\system32\buyurl0502.dat 2007-07-28 15:31 d-------- C:\Temp 2007-07-28 15:22 d-------- C:\Program Files\Apple Software Update 2007-07-28 15:22 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple 2007-07-28 15:17 d-------- C:\Program Files\MediaInfo 2007-07-28 13:11 25,856 --a------ C:\WINDOWS\system32\drivers\hidbth.sys 2007-07-28 13:11 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys 2007-07-28 13:10 38,016 --a------ C:\WINDOWS\system32\drivers\bthmodem.sys 2007-07-28 13:06 100,992 --a------ C:\WINDOWS\system32\drivers\bthpan.sys 2007-07-28 13:05 8,192 --a------ C:\WINDOWS\system32\wshirda.dll 2007-07-28 13:05 59,648 --a------ C:\WINDOWS\system32\drivers fcomm.sys 2007-07-28 13:05 28,160 --a------ C:\WINDOWS\system32\irmon.dll 2007-07-28 13:05 274,944 --a------ C:\WINDOWS\system32\drivers\bthport.sys 2007-07-28 13:05 18,944 --a------ C:\WINDOWS\system32\drivers\BTHUSB.SYS 2007-07-28 13:05 17,024 --a------ C:\WINDOWS\system32\drivers\BthEnum.sys 2007-07-28 13:05 154,112 --a------ C:\WINDOWS\system32\irftp.exe 2007-07-22 20:54 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus! 2007-07-22 20:42 d-------- C:\Program Files\Windows Live 2007-07-22 20:42 d-------- C:\Program Files\Messenger Plus! Live 2007-07-22 01:58 854,528 --a------ C:\WINDOWS\system32\Ltwvc12n.dll 2007-07-22 01:58 78,336 --a------ C:\WINDOWS\system32\LFFAX12n.DLL 2007-07-22 01:58 43,008 --a------ C:\WINDOWS\system32\lfgif12n.dll 2007-07-22 01:58 41,472 --a------ C:\WINDOWS\system32\LTTWN12n.DLL 2007-07-22 01:58 406,528 --a------ C:\WINDOWS\system32\LTKRN12n.DLL 2007-07-22 01:58 314,880 --a------ C:\WINDOWS\system32\LFCMP12n.DLL 2007-07-22 01:58 278,528 --a------ C:\WINDOWS\system32\LTDIS12n.DLL 2007-07-22 01:58 25,600 --a------ C:\WINDOWS\system32\lfavi12n.dll 2007-07-22 01:58 227,840 --a------ C:\WINDOWS\system32\LTEFX12n.DLL 2007-07-22 01:58 166,400 --a------ C:\WINDOWS\system32\LTIMG12n.DLL 2007-07-22 01:58 155,648 --a------ C:\WINDOWS\system32\LFTIF12n.DLL 2007-07-22 01:58 122,368 --a------ C:\WINDOWS\system32\LTFIL12n.DLL 2007-07-22 01:58 121,856 --a------ C:\WINDOWS\system32\lfmpg12n.dll 2007-07-22 01:58 10,940 --a------ C:\WINDOWS\system32\drivers\cdrbsvsd.sys 2007-07-22 01:58 d-------- C:\Program Files\Sony Corporation 2007-07-22 01:58 d-------- C:\Program Files\Fichiers communs\muvee Technologies 2007-07-21 12:00 5,376 --a------ C:\WINDOWS\system32\MSPCLOCK.sys 2007-07-21 11:55 6,097 --a------ C:\WINDOWS\system32\drivers\sonyhcb.sys 2007-07-21 11:55 53,248 --a------ C:\WINDOWS\system32\SONYHCY.DLL 2007-07-21 11:55 38,739 --a------ C:\WINDOWS\system32\drivers\sonyhcc.sys 2007-07-21 11:55 3,654 --a------ C:\WINDOWS\system32\drivers\Sonyhcp.dll 2007-07-21 11:55 299,923 --a------ C:\WINDOWS\system32\drivers\sonyhcs.sys 2007-07-21 11:55 102,220 --a------ C:\WINDOWS\system32\drivers\sonypvs1.sys 2007-07-21 11:55 d-------- C:\Drivers 2007-07-21 11:54 d-------- C:\USB_DRV 2007-07-21 11:38 d-------- C:\WINDOWS\RegisteredPackages 2007-07-19 08:29 d---s---- C:\WINDOWS\Downloaded Program Files 2007-07-16 23:15 d-------- C:\Program Files\DivX 2007-07-05 18:58 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys 2007-07-05 18:50 d-------- C:\WINDOWS\system32\fr-fr 2007-07-05 18:46 d-------- C:\WINDOWS etwork diagnostic 2007-06-18 22:30 d-------- C:\Program Files\CFWebAdvancedU 2007-06-03 09:24 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\TomTom 2007-06-03 09:23 d-------- C:\DOCUME~1\mansou\APPLIC~1\InstallShield 2007-06-02 20:32 d-------- C:\Program Files\Incomplete (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-31 16:19 --------- d-------- C:\Program Files\Wanadoo 2007-07-30 19:41 --------- d-------- C:\Program Files\MSN Messenger 2007-07-30 10:05 63750 --a------ C:\WINDOWS\system32\perfc00C.dat 2007-07-30 10:05 436526 --a------ C:\WINDOWS\system32\perfh00C.dat 2007-07-29 17:25 --------- d--h----- C:\Program Files\InstallShield Installation Information 2007-07-21 11:38 --------- d-------- C:\Program Files\Movie Maker 2007-07-05 18:56 --------- d-------- C:\Program Files\Windows Live Toolbar 2007-06-28 00:37 --------- d-------- C:\Program Files\BitComet 2007-06-18 12:04 19392 --a------ C:\DOCUME~1\mansou\APPLIC~1\GDIPFONTCACHEV1.DAT 2007-06-08 10:24 --------- d-------- C:\Program Files\LimeWire 2007-06-03 09:24 --------- d-------- C:\Program Files\TomTom HOME 2007-05-16 17:13 683520 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-11-17 22:29 278528 --a------ C:\Program Files\Fichiers communs\FDEUnInstaller.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 15:49] "SiSPower"="SiSPower.dll" [2004-09-02 14:47 C:\WINDOWS\system32\SiSPower.dll] "MAAgent"="C:\Program Files\MarkAny\ContentSafer\MAAgent.exe" [2007-02-20 11:07] "AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2007-04-21 13:43] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2006-11-22 00:19] "SMSTray"="C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-04-01 20:00] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 15:50] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2005-09-23 22:05:26] Utility Tray.lnk - C:\WINDOWS\system32\sistray.exe [2006-11-17 23:21:57] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{88485281-8b4b-4f8d-9ede-82e29a064277}"= C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 17:51 192512] R0 gagp30kx;Filtre AGP version 3.0 g‚n‚rique Microsoft pour plates-formes … base de processeur K8;C:\WINDOWS\system32\DRIVERS\gagp30kx.sys R0 RecAgent;RecAgent;C:\WINDOWS\system32\DRIVERS\RecAgent.sys R1 AmdK8;Pilote de processeur AMD Athlon64;C:\WINDOWS\system32\DRIVERS\AmdK8.sys R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys R2 BthServ;Bluetooth Support Service;C:\WINDOWS\system32\svchost.exe -k bthsvcs R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys R3 Mtlmnt5;Mtlmnt5;C:\WINDOWS\system32\DRIVERS\Mtlmnt5.sys R3 Slntamr;SmartLink AMR_PCI Driver;C:\WINDOWS\system32\DRIVERS\slntamr.sys R3 SlWdmSup;SlWdmSup;C:\WINDOWS\system32\DRIVERS\SlWdmSup.sys R3 USB_RNDIS;Inventel Gateway;C:\WINDOWS\system32\DRIVERS\usb8023.sys S3 BthEnum;Pilote de bloc de demande Bluetooth;C:\WINDOWS\system32\DRIVERS\BthEnum.sys S3 BTHMODEM;Pilote de communications modem Bluetooth;C:\WINDOWS\system32\DRIVERS\bthmodem.sys S3 BthPan;P‚riph‚rique Bluetooth (r‚seau personnel);C:\WINDOWS\system32\DRIVERS\bthpan.sys S3 BTHPORT;Pilote de port Bluetooth;C:\WINDOWS\system32\Drivers\BTHport.sys S3 BTHUSB;Pilote USB radio Bluetooth;C:\WINDOWS\system32\Drivers\BTHUSB.sys S3 HidBth;Miniport HID Microsoft Bluetooth;C:\WINDOWS\system32\DRIVERS\hidbth.sys S3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys S3 Mtlstrm;Mtlstrm;C:\WINDOWS\system32\DRIVERS\Mtlstrm.sys S3 NtMtlFax;NtMtlFax;C:\WINDOWS\system32\DRIVERS\NtMtlFax.sys S3 PCAMPR5;PCAMPR5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\PCAMPR5.SYS S3 RFCOMM;P‚riph‚rique Bluetooth (TDI protocole RFCOMM);C:\WINDOWS\system32\DRIVERS fcomm.sys S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE27bus.sys S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE27mdfl.sys S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE27mdm.sys S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE27mgmt.sys S3 se27nd5;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS);C:\WINDOWS\system32\DRIVERS\se27nd5.sys S3 se27unic;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM);C:\WINDOWS\system32\DRIVERS\se27unic.sys S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys S3 SlNtHal;SlNtHal;C:\WINDOWS\system32\DRIVERS\Slnthal.sys S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys S3 ssm_bus;SAMSUNG Mobile USB Device II 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ssm_bus.sys S3 ssm_mdfl;SAMSUNG Mobile USB Modem II 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ssm_mdfl.sys S3 ssm_mdm;SAMSUNG Mobile USB Modem II 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ssm_mdm.sys S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS S3 V0080Dev;Creative Camera VF0080 Driver;C:\WINDOWS\system32\DRIVERS\V0080Dev.sys [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs BthServ [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cce287b0-11ab-11dc-9f82-00073a13310b}] AutoRun\command- E:\InstallTomTomHOME.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f80ad30d-eaa0-11db-9f09-00073a13310b}] AutoRun\command- E:\LaunchU3.exe -a Contents of the 'Scheduled Tasks' folder 2007-07-28 13:23:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job 2007-07-31 13:52:01 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-31 16:27:13 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-31 16:28:30 --- E O F ---

moK´s@ · Answer

re,

il va faloir te defaire de bitcomet...

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :
  
C:\Program Files\BitComet 

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

puis

fais ceci :

tapes ceci dans Démarrer/Exécuter:
%SystemRoot%\System32\restore\rstrui.exe
Paramètres de restauration/Désactivé la restauration sur tous les lecteurs.
Reboot.
Ensuite refais l'inverse, réactive. 

comment faire :

¤Désactive ta restauration système:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique

et pour verifier :

https://www.bitdefender.com/toolbox/

Clique sur "I agree" et suis la manip.

et post le rapport

@+

mansou31 · Answer

C:\Program Files\BitComet\Torrents moved successfully.
C:\Program Files\BitComet\rules moved successfully.
C:\Program Files\BitComet\lang moved successfully.
C:\Program Files\BitComet\fav\ad moved successfully.
C:\Program Files\BitComet\fav moved successfully.
C:\Program Files\BitComet\codec moved successfully.
C:\Program Files\BitComet moved successfully.
 
Created on 07/31/2007 17:13:37

moK´s@ · Answer

ok parfais,

il ne te reste plus qu´a faire le scan on line avec bit defender...

c´est long, mais...

@+

mansou31 · Answer

Voila le rapport 
C:\Program Files\BitComet\Torrents moved successfully.
C:\Program Files\BitComet\rules moved successfully.
C:\Program Files\BitComet\lang moved successfully.
C:\Program Files\BitComet\fav\ad moved successfully.
C:\Program Files\BitComet\fav moved successfully.
C:\Program Files\BitComet\codec moved successfully.
C:\Program Files\BitComet moved successfully.
 
Created on 07/31/2007 17:13:37



voila le rapport

BitDefender Online Scanner - Real Time Virus Report
	

 
	

 

Generated at: Tue, Jul 31, 2007 - 17:57:11

 
	

 
	

 

Scan Info
	

 
	

 

Scanned Files
	

155537

Infected Files
	

0
	

 
	

 

 
	

 
	

 

Virus Detected
	

 
	

 

No virus found.
	

	

 
	

 

 
	

 
	

 

 
	

 
	

 

This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

moK´s@ · Answer

c´est plutot encourragent, non?! ;-)

comment va ton pc?

@+

moK´s@ · Answer

re,

avant de tout supprimer, post un hijack this on va retirer les entrées superflue...

moK´s@ · Answer

re,

¤
avec hijack this coche ceci :

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download all links using BitComet - res://C:\_OTMoveIt\MovedFiles\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\_OTMoveIt\MovedFiles\Program Files\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

quitte tes applications et navigateur et fix les lignes ci dessus.

supprime ceci si present :

C:\WINDOWS\bdoscandel.exe

click sur demarrer>execute>tape :  services.msc dans la boite de dialogue et une fois la fenetre des services ouverte cherche et arrete le service suivant :

France Telecom Routing Table Service (FTRTSVC)


tu n´auras plus msn au demarrage...

si tu veux le garder en toile de fond ne coche pas celle ci :

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background


tu as fais une defragmentation ressament?


¤
puis j´ai bien fais de verifier :

tu n´as pas de par feu!!!

alors pour eviter d´autres problemes dans le futur :

je peux te proposer :

kerio ou zone alarm :

https://kerio.probb.fr/

(merci a boulepate pour le site!!!)

sur cette page tu as le choix entre kerio et zone alarm, zone alarm est plus facile a configurer que kerio mais un peu moins performant, a toi de voir...

tutorials :

zone alarm :

http://forum.telecharger.01net.com/forum/

kerio 4.2.

https://kerio.probb.fr/

kerio autre version 4.5.

https://kerio.probb.fr/

puis tu peux installer ca aussi :

http://www.brightfort.com/spywareblaster.html

c´est un resident ( complementaire avec le teatimer de spybot ), il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"


puis 

* Télécharge Erase!Beta de A.Rothstein qui va supprimer ce que l'on à téléchargé durant la procédure.
https://www.cjoint.com/?hxxXMmGGWT  
* Enregistre le fichier sur le Bureau puis dézippe le .
* Double-clique sur le fichier Erase!beta sur ton bureau > L'outil va procéder au nettoyage.
* Copie le rapport qui se trouve ici > C:\RapportEP.txt et poste le dans ta prochaine réponse.

@+

mansou31 · Answer

voilà le rapport par contre je n'arrive pas à télécharger kerio ou zone alarm sa marche pas 


                        ********EraseProg! (A.Rothstein) V1.8******** 



Nettoyage commence le 31/07/2007 a 19:33:16,04 

*************************************** 

-SdFix = Trouve!  

-SdFix.exe = Suppression effectuee!  

-Navilog = trouve!  

-Navilog = Suppression effectuee!  
 
-Clean(dossier) = Trouve!  

-Clean(dossier) = Suppression effectuee!  

-ComboFix.exe = Trouve!  

-ComboFix.exe = Suppression effectuee! 

-Qoobox = Trouve! 

-Qoobox = Suppression effectuee! 

-Otmoveit.exe = Trouve! 

-Otmoveit.exe = suppression effectuee! 


_OTMoveIt = Suppression effectuee! 

-MsnFix = Trouve! 

-MsnFix = Suppression effectuee! 

-MsnFix = Trouve! 

-MsnFix = Suppression effectuee! 

                             Programme(s) supprime(s) avec succes! 
*************************************** 
 
Fin le 31/07/2007 a 19:33:18,40  
 
                           Merci d'avoir utilise EraseProg!

moK´s@ · Answer

re,

https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

https://kerio.probb.fr/t4-tlcharger-sunbelt-kerio-personal-firewall

comme ca ca devrait mieux le faire...

@+

moK´s@ · Answer

re,

oui supprime celui que l´on a utilisé...

@+

moK´s@ · Answer

de rien,

bonne soirée a toi ;-)

C!@0`

67100 · Answer

Salut!
virus hosts toujours present

moK´s@ · Answer

salut mansou31,

il n´y a pas signe d´infection 

il n´arrrive pas a lire le fichier , c´est pour cela qu´il te marque : result infection : reading error 

fais ceci :

¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer ! 

puis rends toi sur ce site :

https://www.virustotal.com/gui/

et fais analyser ceci : 

fichier a analyser : hosts 

chemin du fichier :

c:\windows\system32\drivers\etc\hosts 

pour le faire analyser, tu l´upload dans la case en clickant sur parcourir et en le cherchant sur ton pc.

post le rapport ici .

@+

moK´s@ · Answer

re,

apparament il n´a rien recu a analyser

peux tu aller voir ce qu´il y a dans ce fichier?

c:\windows\system32\drivers\etc\hosts 

@+

Virus trojan horse back door.irebot.jx

32 réponses

Discussions similaires

Newsletters