Trojan-Downloader.Win32.CWS Fermé

Question

Bonjour,

Je n'arrive pas à m'en sortir.
J'ai mon antivirus qui a détecté plusieurs Trojan et qui ne peut me les éliminer. Je ne m'y connais pas bcp en info.
Il détecte psieurs noms : Trojan-Downloader.Win32.CWS.gen - Trojan-Clicker.Win32.Small.bm - Trojan.Win32.Small.ai - TrojanClicker.Win32.Small.bmb
De plus j'ai une berre de recherche qui s'installe automatiquement mais cette fois ci elle est directement intégrée à ma page web.
Qui peut m'aider ?

balltrap34 · Answer

salut
utilise ces log pour commencer
utilise cet anti trojan A2
http://www.emsisoft.net/fr/
penser a le metre a jour avant de scanner le pc
-------
spybot

adaware
(ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm

la chasse et le balltrap ma vrai passion
voir site perso dans profil

balltrap34 · Answer

pour la barre on s en occupera apresla chasse et le balltrap ma vrai passionvoir site perso dans profil

RAFIK BOUHACHEM · Answer

ReIl me demande un login et un code ?Comment dois je faire merci

balltrap34 · Answer

tu doit l avoir recu par emailla chasse et le balltrap ma vrai passionvoir site perso dans profil

RAFIK BOUHACHEM · Answer

Merci je le lance et je te dis

balltrap34 · Answer

fait les deux autres aussila chasse et le balltrap ma vrai passionvoir site perso dans profil

RAFIK BOUHACHEM · Answer

spybot je l'ai et je l'ai fais aujourd'hui.tu m'en as donné 2 en tout ?

balltrap34 · Answer

il y a aussi adaware sur la meme page que spybot que je t ai donnerla chasse et le balltrap ma vrai passionvoir site perso dans profil

RAFIK · Answer

Je vais sur ta page perso et qd je clique sur le lien il m'affiche une page vide

Utilisateur anonyme · Answer

salut rafik ^_^

essaye ces 2 sites
http://telechargement.zebulon.fr/36-Ad-Aware-SE-Personal-edition-1.03.html
http://lavasoft.element5.com/french/support/download/

hello balltrap, je plie boutique bonne fin de soirée

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

RAFIK BOUHACHEM · Answer

Désolé de t'ennuyer encore mais là c'est de pire en pire.
j'accède à internet mais ça rame énormément. Ma page par défaut s'affiche maintenant sur : http://www.onlygoodsearch.com/10040/
Et mon antivirus détecte des trojan dans les fichiers WINLOGON et le fichiers : c:\windows\intem.
Puis dans services.exe. Si je les supprime qu'est ce ça peut fait ?

balltrap34 · Answer

bonne nuit dolly
tu as du te tromper cela marche chez moi
recommence
(ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm

et la tu click sur le mot adaware

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Utilisateur anonyme · Answer

;-) encore là, ta page est ok balltrap j'ai testé

s'il faut, rafik ton accès internet est complétement perturbé par des hijackers
il vaudrait mieux faire un log hijack pendant que tu peux encore naviguer

bon courage @+

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

RAFIK BOUHACHEM · Answer

Salut,Désolé de vous ennuyer tous les 2 aussi tard mais c'est quoi un log hi jack

Utilisateur anonyme · Answer

re :-)

http://www.zebulon.fr/articles/HijackThis.php

- Le télécharger
- Le mettre dans 1 dossier ex: C:\HijackThis
- Le lancer -> Scan -> Save log
- Récupérer ce log/texte avec le bloc- notes.
- Le copier/coller ici

(screenshot) <-- à quoi ça ressemble
http://www.ordi-netfr.org/tutorialhijackthis.html

@+

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

ok - houlààà!C:\WINDOWS\inetm/winlogon.exe c'pas net ce truc inetm ???tu fixes (coches)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onlygoodsearch.com/10040/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchnow.com/searchbar.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.htmlR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missing <--ne l'oublie pas c'est la redirection automatique sur ta page véroléeO2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inetm\1.02.04.dll les lignes 04 : suis bien cette procédure1) ctrl+alt+supp (arrête ces processus dans le gestionnaire des tâches)2) tu repasses sur l'hijack et tu fixes les casesO4 - HKLM\..\Run: [RVP] "C:\Program Files\RVP\bpc.exe"  <--spywarehttp://www.liutilities.com/products/wintaskspro/processlibrary/bpc/O4 - HKLM\..\Run: [PGStub.exe] C:\DOCUME~1\azerty\LOCALS~1\TEMP\g181511.exe <--adware http://startup.iamnotageek.com/srch-PGStub.exe.htmlO4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe <--spywarehttp://www.winpatrol.com/db/freesample/wupdater.htmlO4 - HKLM\..\Run: [Prein] C:\DOCUME~1\azerty\LOCALS~1\Temp\app4.tmp <--je vois pas ce que c'est dans tes docs ça? si tu connais c'est ok sinon fixeO4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exe<--trojanhttp://www.spynet.com/spyware/spyware-Krepper.aspxO4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe<--trojanO4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exe<--trojan bis 016 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cabO16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/f--------------------------------------------------------------------O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe <-- vérifie que ce soit bien un composant de ta carte graphique, ce processus peut indiquer la présence d'un trojanhttp://www.commentcamarche.net/processus/igfxtray-exe.php3--------------------------------------------------------------------procédure :*fixe les lignes trouvées dans l'hijack*ferme l'hijack*reboot ton ordi*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT) si tu as des dysfonctionnments logiciels, dans le log hijack tu as un fichier Backup (sauvegarde) tu reverses les lignes éventuellement@+ quel boulot*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

RAFIK BOUHACHEM · Answer

Le hou la la ça veut dire que je suis dans la merde, non ?

mais une dernière : être hijacker ça veut dire quoi exactemet

Merci beaucoup à tous ls deux.
ça a l'air chaud pour moi.
Je fais ça demain à tête reposé

A+ les gars

Utilisateur anonyme · Answer

hijacker c'est :
hijack - hijacker - hijacking : modification non sollicitée du comportement et/ou des réglages du navigateur de l'internaute

amen! ^_^ loll

fait les fix, n'oublie pas le backup si t'as des problèmes (vu l'heure tardive, on sait jamais........)
ensuite repasse a²+spybot 1.3 à jour + ad-aware SE à télécharger
+ spywareBlaster (anti activX)
http://www.ordi-netfr.org/tutorialspywareblaster.html
http://www.javacoolsoftware.com/spywareblaster.html
s'apparente à la fonction de "Vaccination" de Spybot, mais en plus puissant.

@ demain, tu repostes un nouveau log quand tu as finis les fix

ZzzzzzzzzzzzzZZZzzzzzzzz <------- good night :-))

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

+ haut dans le lien "screenshot" on t'explique où et comment on reverse une ligne avec le Backuple post 17 je crois*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens <-- ne fixe pas, je l'ai copié/collé par erreur (bien que ce ne soit pas important comme ligne)

j'ai refait une vérif
C:\WINDOWS\inetm/(winlogon.exe)
faudrait virer inetm dans C:\WINDOWS

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

RAFIK BOUHACHEM · Answer

Slt C'est encore moiQuand vous dites fixer, je les coche où ,Merci

RAFIK BOUHACHEM · Answer

Slt Je ne sais pas si tu est là dolly danger mais je n'ai plus les mêmes ligne qu'hier.A mon avis ad ware m'a viré des trucs.Voilà le nouveau peux tu m'aider ?J'ai viré comme tu l'as dit le dossier intem en mode sans echec.Sinon une fois que je ciche les lignes je clique sur le bouton fix checked ou pas besoin ?Logfile of HijackThis v1.98.2Scan saved at 13:15:28, on 21/11/2004Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\AntiVirusKit\AVKService.exeC:\Program Files\AntiVirusKit\AVKWCtl.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Analog Devices\SoundMAX\SMTray.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\WINDOWS\System32\igfxtray.exeC:\WINDOWS\System32\hkcmd.exeC:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exeC:\Program Files\AntiVirusKit\AVKPOP.EXEC:\Program Files\QuickTime\qttask.exeC:\Program Files\a2\a2guard.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeC:\Program Files\Internet Explorer\iexplore.exeC:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXEC:\Program Files\Microsoft Office\Office10\WINWORD.EXED:afik\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingF3 - REG:win.ini: run=C:\WINDOWS\inetm\winlogon.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: File Meta Bleh - {A144D046-298E-23DD-60F2-0F2DA43A36F6} - C:\PROGRA~1\LOUDSE~1\DOWNLOAD LOAD.dll (file missing)O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO3 - Toolbar: DashInside - {C05986CA-D019-0014-44CF-D5BF3F794C40} - C:\PROGRA~1\LOUDSE~1\DOWNLOAD LOAD.dll (file missing)O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exeO4 - HKLM\..\Run: [RVP] "C:\Program Files\RVP\bpc.exe"O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exeO4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\AntiVirusKit\AVKPOP.EXE"O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Prein] C:\DOCUME~1\azerty\LOCALS~1\Temp\app4.tmpO4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exeO4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exeO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXEO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXEO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cabO16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/beta/vet_install_popup.pl?1&4&04.00.04.03&http://www.tagheuer.com/watches/3d.lblO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15f38e780df071174f01/netzip/RdxIE601_fr.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cabO16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{4DA8AF84-79EA-4963-9758-B06E1C682CF5}: NameServer = 80.10.246.1 80.10.246.132O17 - HKLM\System\CS1\Services\Tcpip\..\{4DA8AF84-79EA-4963-9758-B06E1C682CF5}: NameServer = 80.10.246.1 80.10.246.132

Utilisateur anonyme · Answer

rete manque un max de fix encore, t'as rien fixé? je te recopie le post plus haut - fait tes vérifs, je vire les urlS des infos pour plus de clarté, mais consulte-les ça te fera du bien lolR3 - Default URLSearchHook is missing <--ne l'oublie pas c'est la redirection automatique sur ta page véroléeO2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inetm\1.02.04.dllles lignes 04 : suis bien cette procédure1) ctrl+alt+supp (arrête ces processus dans le gestionnaire des tâches)2) tu repasses sur l'hijack et tu fixes les casesO4 - HKLM\..\Run: [RVP] "C:\Program Files\RVP\bpc.exe" O4 - HKLM\..\Run: [PGStub.exe] C:\DOCUME~1\azerty\LOCALS~1\TEMP\g181511.exe O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe O4 - HKLM\..\Run: [Prein] C:\DOCUME~1\azerty\LOCALS~1\Temp\app4.tmp <--je vois pas ce que c'est dans tes docs ça? si tu connais c'est ok sinon fixeO4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exeO4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exeO4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exe fix checked <--oui tu peux ça veut dire "cocher" c' pareilquand tu as fais ces fix - tu repostes un nouveau log (tu re-télécharges, ne me refile pas le même!)@+*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

RAFIK BOUHACHEM · Answer

Voilà c'est faitLogfile of HijackThis v1.98.2Scan saved at 13:54:05, on 21/11/2004Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\AntiVirusKit\AVKService.exeC:\Program Files\AntiVirusKit\AVKWCtl.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Analog Devices\SoundMAX\SMTray.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\WINDOWS\System32\igfxtray.exeC:\WINDOWS\System32\hkcmd.exeC:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exeC:\Program Files\AntiVirusKit\AVKPOP.EXEC:\Program Files\QuickTime\qttask.exeC:\Program Files\a2\a2guard.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeD:afik\HijackThis.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeC:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXEC:\Program Files\Microsoft Office\Office10\WINWORD.EXEC:\Program Files\Internet Explorer\iexplore.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhomeR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=homeR1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexploreR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingF3 - REG:win.ini: run=C:\WINDOWS\inetm\winlogon.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: File Meta Bleh - {A144D046-298E-23DD-60F2-0F2DA43A36F6} - C:\PROGRA~1\LOUDSE~1\DOWNLOAD LOAD.dll (file missing)O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exeO4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\AntiVirusKit\AVKPOP.EXE"O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXEO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXEO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15f38e780df071174f01/netzip/RdxIE601_fr.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cabO16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

RAFIK BOUHACHEM · Answer

comment je sais si "igfxtray fait partie de ma carte graphique ?

Utilisateur anonyme · Answer

encore un petit effortR3 - Default URLSearchHook is missing  <-- faut vraiment fixer cette ligne (bis/ter) ^_^O2 - BHO: File Meta Bleh - {A144D046-298E-23DD-60F2-0F2DA43A36F6} - C:\PROGRA~1\LOUDSE~1\DOWNLOAD <--inutile ce truc/fixeR1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore  <--fixe cette ligne, si un truc déconne, reverse la ligne, ça me parait zarbi ce truc....[IgfxTray] (ça doit être bon/respire)http://www.commentcamarche.net/processus/igfxtray-exe.php3 te manque plus qu'une chosePlatform: Windows XP (WinNT 5.01.2600)  <--même pas le SP1? ça craint, tu vas servir de passoire à virus pour longtemps encoreMicrosoft update <---

RAFIK BOUHACHEM · Answer

Slt Dolly Danger?Alors toujours au fourneau ?Voici mon dernier Hijack tu peux si c'est ok IL faut que je fasse la MAJ WINDOWS c'est ça ?Merciogfile of HijackThis v1.98.2Scan saved at 20:01:24, on 22/11/2004Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\AntiVirusKit\AVKService.exeC:\Program Files\AntiVirusKit\AVKWCtl.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\WINDOWS\System32\wdfmgr.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Analog Devices\SoundMAX\SMTray.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\WINDOWS\System32\igfxtray.exeC:\WINDOWS\System32\hkcmd.exeC:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exeC:\Program Files\AntiVirusKit\AVKPOP.EXEC:\Program Files\QuickTime\qttask.exeC:\Program Files\a2\a2guard.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeC:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXEC:\Program Files\Microsoft Office\Office10\WINWORD.EXED:afik\HijackThis.exeC:\Program Files\Internet Explorer\iexplore.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhomeR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=homeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exeO4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\AntiVirusKit\AVKPOP.EXE"O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXEO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXEO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15f38e780df071174f01/netzip/RdxIE601_fr.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cabO16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{4DA8AF84-79EA-4963-9758-B06E1C682CF5}: NameServer = 80.10.246.1 80.10.246.132O17 - HKLM\System\CS1\Services\Tcpip\..\{4DA8AF84-79EA-4963-9758-B06E1C682CF5}: NameServer = 80.10.246.1 80.10.246.132

Utilisateur anonyme · Answer

OH! RAFIK!! va-y donc toi-même aux fourneauxje reste devant l'ordi, je sirote mon caféet n'oublie pas de faire la vaisselle aussi!! (un p'tit coup sur les vitres en plus)bon tout est ok - urgence Microsoft pour ton updatesinon tu vas encore servir de passoire (à nouilles)^_^ bon surf! *Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

RAFIK BOUHACHEM · Answer

Ouais les fourneaux j'y suis depuis deux jours.Il ne me reste plus qu'à descendre ma poubelle et tout sera OKEncore deux petites choses entre 2 gorgées de café :La MAJ XP s'appelle comment ?Il mes reste des fichiers vérolés en quarantaine dans mon antivirus, je les vire ?ils sont dans un fichier appelé : A0057747.EXE et ds le dossier C:\system volume Information\restore{BE2A... ou dansun fichhier qui s'appelle R.EXE. il sert à quoi ce fichier au fait ?J'en ai un autre qui s'appelle S.EXE c'est quoi ces truc ?

Utilisateur anonyme · Answer

vire tes quarantaines oui, tu vas pas ouvrir une collection de vieux virus non?C:\system volume Information\restore<---- tsss! ce sont tous les virus qui se logent dans ta restauration système parceque quand tu fais des scans avec ton antivirus tu ne fais que des "mauvaises manipulations" (c'pas beau ça!) En admettant que tu doives faire une restauration de ton système là dans 2 minutes. c'est simple tu te refous dans le pc toutes les saletés que tu as virés avec l'hijack, tout tes virus, etc etc... la totale! Bref! tu dois toujours désactiver ta restauration système quand tu scannes ton ordi avec ton antivirus et ne la réactiver qu'une fois ton ordi CLEANà lire :http://www.inoculer.com/virusdesinfection.php3M$ Update/tu cliques "rechercher des mises à jour" laisse faire la maison Crosoft qui scanne ton ordi à la recherche de toutes les mies à jour que tu dois installer (ça va être long pour toi) certaines mises à jour se font une à une (zzZZzz!) et demande que l'on redémarre l'ordi et ainsi de suite, retour chez M$ et .......http://v4.windowsupdate.microsoft.com/fr/default.asp*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

rafik · Answer

sUPER dOLLY?Tout fonctionne bien Merci mec pour tes conseils et astuces et pour le temps@+

neige · Answer

bonjour voici un lienhttp://www.kaspersky.com/fr/nettoyeurqui ma aider a me dedarrasser de ce trojan j'éspére que pour toi ca seras pareil,a moins que tu as  reparer le forum m'ayant deja souvent aider j'aimerais moi aussi pour une fois faire pareil@+ :)

bernie61 · Answer

salutlien utile mais n'oubliez pas qu'un antivirus résident et mis à jour et nettement mieux, il intervient avant infection en reconnaissant que vous charger un fichier infectéa+

sergio · Answer

SALUT A TOUS !MOI JE SUIS AUSSI EMBETER AVEC CETTE BARRE QUI S AFFICHEhttp://www.onlygoodsearch.com/10040/ ET JE NE SAIS PAS COMMENT L ENLEVERSI VOUS POUVEZ M AIDER!!merci

RAFIK BOUHACHEM · Answer

salut Vu que j'ai eu le meme probleme je te refile les logiciels qu'on m'a donné sur ce site.Fait un scan avec ces 2 anti trojan qui se trouvent sur le site du gars qui m'avait aidéhttp://www.emsisoft.net/fr/ penser a le metre a jour avant de scanner le pc ------- spybot adaware (ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm

balltrap34 · Answer

salutHijackthis : http://209.133.47.200/~merijn/files/ HijackThis.exe                   http://pageperso.aol.fr/balltrap34/page%20virus.htmtelecharge le et met le dans son propre dossier ex/c :hjFais scan puis save log et colle le contenu du fichier texte qui s'affichela chasse et le balltrap ma vrai passionvoir site perso dans profil

RAFIK BOUHACHEM · Answer

Salut Sergio,Je viens de voir tes messagesAlors est ce que tu as réussis ?j'ai vu que balltrap t'a aidé. De toute façon je m'y connais pas assez pourvérifier ton script.Si je peux faire autre chose pour t'aider comme baltrap a pu m'aider sns soucis selon mes compétences.A+

sergio · Answer

VOILA MON RESULTAT! merciLogfile of HijackThis v1.98.2Scan saved at 13:22:45, on 11/12/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32
vsvc32.exeC:\Program Files\Norton AntiVirus\SAVScan.exeC:\WINDOWS\System32\SCardSvr.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32	gbstarter.exeC:\WINDOWS\System32\WLTRYSVC.EXEC:\WINDOWS\System32\bcmwltry.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\inetm\winlogon.exeC:\WINDOWS\System32\DSentry.exeC:\Program Files\Logitech\iTouch\iTouch.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\a2\a2guard.exeC:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exeC:\Program Files\ArcSoft\PhotoImpression 5\PI Monitor.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\milo mileta\Mes documents\HijackThis.exeC:\Program Files\Outlook Express\msimn.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htmR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onlygoodsearch.com/10040/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\MILOMI~1\LOCALS~1\Temp\sp.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\MILOMI~1\LOCALS~1\Temp\sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhostR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)F3 - REG:win.ini: run=C:\WINDOWS\inetm\winlogon.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inetm\1.02.05.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: (no name) - {700488E6-CED4-4E38-95CC-680E4D90E6CC} - C:\WINDOWS\System32\ilkdoj.dll (file missing)O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing)O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll (file missing)O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exeO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installquietO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [neufbox_reminder] "C:\Program Files\Kit ADSL\Wizard\PostInstall_Checker.exe" -rO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exeO4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -trayO4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScanO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exeO4 - Global Startup: PI Monitor.lnk = C:\Program Files\ArcSoft\PhotoImpression 5\PI Monitor.exeO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Créer un favori - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dllO9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dllO9 - Extra 'Tools' menuitem: Créer un favori... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO18 - Filter: text/html - {B620A7AA-2325-4620-A3A1-81578A8E87E7} - C:\WINDOWS\System32\ilkdoj.dllO18 - Filter: text/plain - {B620A7AA-2325-4620-A3A1-81578A8E87E7} - C:\WINDOWS\System32\ilkdoj.dll

sergio · Answer

et au fait! je colle où le contenu du fichier texte qui s'affiche?

balltrap34 · Answer

salutavant d agir sut ton hijack fait cecitelecharge et utilise les et refait un hijack apres un redemarrageCWShredderil faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next-----------spyboot-----------adaware-----------tu les trouveras icihttp://pageperso.aol.fr/balltrap34/page%20virus.htm-------redemarre et refait hjla chasse et le balltrap ma vrai passionvoir site perso dans profil

sergio · Answer

voila mon hitjack CA ALogfile of HijackThis v1.98.2Scan saved at 13:56:41, on 13/12/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32
vsvc32.exeC:\Program Files\Norton AntiVirus\SAVScan.exeC:\WINDOWS\System32\SCardSvr.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32	gbstarter.exeC:\WINDOWS\System32\WLTRYSVC.EXEC:\WINDOWS\System32\bcmwltry.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\inetm\winlogon.exeC:\WINDOWS\System32\DSentry.exeC:\Program Files\Logitech\iTouch\iTouch.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\a2\a2guard.exeC:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exeC:\Program Files\ArcSoft\PhotoImpression 5\PI Monitor.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\milo mileta\Local Settings\Temp\Répertoire temporaire 2 pour HijackThis.zip\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htmR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onlygoodsearch.com/10040/R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhostR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL (file missing)R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)F3 - REG:win.ini: run=C:\WINDOWS\inetm\winlogon.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: (no name) - {700488E6-CED4-4E38-95CC-680E4D90E6CC} - C:\WINDOWS\System32\ilkdoj.dll (file missing)O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll (file missing)O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exeO4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exeO4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installquietO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheckO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [neufbox_reminder] "C:\Program Files\Kit ADSL\Wizard\PostInstall_Checker.exe" -rO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -trayO4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScanO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetm\winlogon.exeO4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exeO4 - Global Startup: PI Monitor.lnk = C:\Program Files\ArcSoft\PhotoImpression 5\PI Monitor.exeO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Créer un favori - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dllO9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dllO9 - Extra 'Tools' menuitem: Créer un favori... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab MARCHE JE TE REMERCIE BEAUCOUP T ES VRAIMENT FORT!!!!

sergio · Answer

salut! c encore moi!decidement je n ai pas de chance car apresavoir r allumer mon pc la barre http://www.onlygoodsearch.com/10040/ est revenu UE DOI JE FAIRE STP

sergio · Answer

salut! dit moi j' ai un autre probleme car je ne peux plus lire mes message sur outlook express ca m' affiche............Votre serveur a mis fin à la connexion de manière inattendue. Les causes possibles peuvent être des problèmes au niveau du serveur ou du réseau, ou une trop longue période d'inactivité. Compte : 'pop3.free.fr', Serveur : 'pop3.free.fr', Protocole : POP3, Port : 110, Sécurisé (SSL) : Non, Numéro d'erreur : 0x800CCC0Fpeut tu m' aider stp!!! merci beaucoup

Edouard · Answer

C'est pas faute d'essayer ; j'ai pris en note et télécharger les différents antivirus pour supprimer le virus CWS, mais rien à faire . Il est toujours détecté par Spyware Vanisher Free.Serait-ce dû à une mise à jour des antivirus ?Qui aurait une solution ?Merci d'avance

Edouard · Answer

je suis entrain de concevoir un site Internet composé de frames dans l'un des fichiers qui correspond au menu, j'y ai mis un tableau à une dimension comportant une image et du texte avec le source que voici : MHSP - MHSP - MHSP !!! NAPOLEON NAPOLEON NAPOLEON - Bienvenue sur le site consacré à la collection de soldats de plombs fabriqué par anciennement par MHSP

MENU

ME CONTACTER

INFORMATIONS
LEGALES

Le fichier image se trouve au même niveau, dans le même dossier que le fichier dont vous avez le source mais l'image n'apparaît pas serait-ce dû au virus CWS ?

hugo161 · Answer

Bonjour,je suis victime d'un pb sur internet. A la connexion, ma page d'accueil est remplacée par une page que je n'arrive pas à virer définitivement (elle revient à chaque connexion voire à la consultation de certains sites). J'ai essaye des tas d'anti virus mais rien à faire.Suivant les procedures que j'ai découvertes sur ce forum, j'ai fait un log avec HijackThis. Je donne le résultat ci dessous et j'espère que qqun pourra à l'aide de ce fichier me dire ce qu'il faut faire pour me débarasser de ce truc.Merci de votre aideLogfile of HijackThis v1.99.0Scan saved at 15:48:43, on 14/02/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Wintab32.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\LEXBCES.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\LEXPPS.EXEC:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\WINDOWS\System32\svchost.exeC:\ati-cpanel\atiptaxx.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\System32\ZPOINT32.exeC:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exeC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeC:\Program Files\Microsoft AntiSpyware\gcasServ.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\AIM95\aim.exeC:\Program Files\a2\a2guard.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\WINDOWS\system32\wscntfy.exeC:\Program Files\Microsoft Office\Office\OSA.EXEC:\Program Files\CASIO\Photo Loader\Plauto.exeC:\WINDOWS\system32
tvdm.exeC:\WINDOWS\explorer.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\hugues\Sécurité\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\hugues\LOCALS~1\Temp\sp.dll/sp.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\hugues\LOCALS~1\Temp\sp.dll/sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: (no name) - {BC6A1748-E9AA-4DA5-AB27-F2E50824BEDA} - C:\WINDOWS\system32\ebde.dllO2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)O4 - HKLM\..\Run: [ATIPTA] C:\ati-cpanel\atiptaxx.exeO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Acecad.Wtxpload] C:\WINDOWS\Acecad\Wtxpload.exe AcecadO4 - HKLM\..\Run: [ZPOINT32] C:\WINDOWS\System32\ZPOINT32.exeO4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMainO4 - HKLM\..\Run: [ViewMgr] C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exeO4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUPO4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exeO4 - HKLM\..\Run: [webscan] C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe -kO4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [AIM] C:\Program Files\AIM95\aim.exe -cnetwait.odlO4 - HKCU\..\Run: [Spyware Vanisher] c:\spywarevanisher-free\FreeScanner.exe -FastScanO4 - HKCU\..\Run: [a-squared] "C:\Program Files\ARC-EN-logiCIEL\a2\a2guard.exe"O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXEO4 - Global Startup: Supervision de Photo Loader.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exeO4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exeO9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dllO9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dllO9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exeO9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO18 - Filter: text/html - {1CD4BB8F-9E28-4E29-B2B5-0C6C3345A0AA} - C:\WINDOWS\system32\ebde.dllO18 - Filter: text/plain - {1CD4BB8F-9E28-4E29-B2B5-0C6C3345A0AA} - C:\WINDOWS\system32\ebde.dllO23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exeO23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exeO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXEO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Wintab32 - Unknown - C:\WINDOWS\System32\Wintab32.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Utilisateur anonyme · Answer

b'soirTu reconnais ce programme Wintab32 ? C:\WINDOWS\System32\Wintab32.exe O23 - Service: Wintab32 - Unknown - C:\WINDOWS\System32\Wintab32.exe dans le log fixer (cocher)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\hugues\LOCALS~1\Temp\sp.dll/sp.html <--vide ton cache (cookies et TEMP)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\hugues\LOCALS~1\Temp\sp.dll/sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankF2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe O2 - BHO: (no name) - {BC6A1748-E9AA-4DA5-AB27-F2E50824BEDA} - C:\WINDOWS\system32\ebde.dllO2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O18 - Filter: text/html - {1CD4BB8F-9E28-4E29-B2B5-0C6C3345A0AA} - C:\WINDOWS\system32\ebde.dllO18 - Filter: text/plain - {1CD4BB8F-9E28-4E29-B2B5-0C6C3345A0AA} - C:\WINDOWS\system32\ebde.dll *ferme TOUS les programmes*fixe les lignes trouvées dans l'hijack*ferme l'hijack*reboot ton ordi*nettoie le cache internet (options internet : supprimer cookies et temp) vide ta corbeille*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT) (screenshot)http://www.bleepingcomputer.com/forums/index.php?showtutorial=42http://www.ordi-netfr.org/tutorialhijackthis.html  <- en françaisN'oublie pas en cas de quelconques problèmes tu as un fichier Backup (sauvegarde) dans l'hijack pour reverser une ligne voir screen *Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

RAFIK BOUHACHEM · Answer

Bonjour,J'ai l'impression d'avoir un petit problème de lenteur sur mon pc. ça me rappelle la fois où j'ai été hitjacké. Quelqu'un peux me dire si mon log est ok. MerciLogfile of HijackThis v1.98.2Scan saved at 20:54:50, on 03/05/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\AntiVirusKit\AVKService.exeC:\Program Files\AntiVirusKit\AVKWCtl.exeC:\WINDOWS\system32\drivers\KodakCCS.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\Program Files\Analog Devices\SoundMAX\SMTray.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exeC:\Program Files\AntiVirusKit\AVKPOP.EXEC:\Program Files\QuickTime\qttask.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\WINDOWS\System32\igfxtray.exeC:\WINDOWS\System32\hkcmd.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exeC:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Windows NT\Accessoires\WORDPAD.EXEC:\Program Files\Windows NT\Accessoires\WORDPAD.EXEC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeD:\Rafik\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dllO4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exeO4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\AntiVirusKit\AVKPOP.EXE"O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exeO4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exeO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15f38e780df071174f01/netzip/RdxIE601_fr.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101151265343O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{4DA8AF84-79EA-4963-9758-B06E1C682CF5}: NameServer = 80.10.246.130 80.10.246.3O17 - HKLM\System\CS1\Services\Tcpip\..\{4DA8AF84-79EA-4963-9758-B06E1C682CF5}: NameServer = 80.10.246.130 80.10.246.3

psy4trous · Answer

Bonjour à tous, donc voilà moi aussi j'ai attrappé ce Trojan Downloader, le formatage ne sert à rien si ce n'est que je peut + ou - profiter de mon pc 1/2 journée, donc voilà j'ai installé Hijack et j'ai fait le scan, donc si quelqu'un pourrait bien m'aidé pour la suite. Merci d'avanceLogfile of HijackThis v1.99.1Scan saved at 22:01:34, on 6/12/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\shost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32undll32.exeC:\WINDOWS\System32	elnet24.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\WINDOWS\System32\NotifyPhoneBook.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\system32\cmd.exe\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXEC:\Documents and Settings\Big Bo$s\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\sstus.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLLO4 - HKLM\..\Run: [Telnet24] telnet24.exeO4 - HKLM\..\RunServices: [Telnet24] telnet24.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO17 - HKLM\System\CCS\Services\Tcpip\..\{97FF2E50-D7F2-4914-9B37-4B0BF6A3FBAA}: NameServer = 193.121.171.135 194.119.228.67O20 - Winlogon Notify: sstus - C:\WINDOWS\SYSTEM32\sstus.dllO23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe

Trojan-Downloader.Win32.CWS

49 réponses

Discussions similaires