Trojan witrim.cd / servead winservad.exe
mikle29
Messages postés
1
Statut
Membre
-
artephe -
artephe -
bonjour,
j'ai effectuer des scan avec secuser, spy-destroy adaware et suis infecté, par
21 files infected par TROJ WINTRIM.CD et en plus il indique non cleanable.
le premier se trouve dans c\windows\tmlpmg.exe
et les vingt autres dans c\restore\temp\A0110446 .....
suis egalement infecté par : SEVEAD WINSERVAD.EXE
j'ai pourtant effectué les scan pour esayer de les virer en configurant le demarrage en mode sans echec, puis aussi passer norton et panda en ligne en desactivant restauration systeme mais rien a faire....
d'autre part j' ai efectué une recherche google sur:
WINSERVAD.EXE ( mon 1er post) et c' est aussi un malware voici l'adresse google : http://www.google.fr/search?sourceid=navcl...winservad%2Eexe
le TROJ WINTRM.CD et le malware WINSERVAD sont ils liés ? comment les virer;
merci de votre aide
voici maintenant le copier colle du rapport de Hijackthis :
Logfile of HijackThis v1.99.0
Scan saved at 11:26:18, on 22/12/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\CCPXYSVC.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\PROGRAM FILES\COMPAQ\EASY ACCESS BUTTON SUPPORT\STARTEAK.EXE
C:\PROGRAM FILES\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
C:\COMPAQ\CPQINET\CPQINET.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\DCFSSVC.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\INVENTEL\GATEWAY\WLANCFG.EXE
C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVAD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\E_S5I0B1.EXE
C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVSUIT.EXE
C:\PROGRAM FILES\EPSON\EPSON CARDMONITOR\EPSON CARDMONITOR1.2.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirec...=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirec...=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirec...=search&ap=b204
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\PROGRAM FILES\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\PROGRAM FILES\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Program Files\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [Dcfssvc] C:\WINDOWS\System32\Drivers\dcfssvc.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\SYSTEM\E_S5I0B1.EXE /P26 "EPSON Stylus CX3600 Series" /O5 "LPT1:" /M "Stylus CX3600"
O4 - HKLM\..\Run: [wlancfg] C:\Program Files\Inventel\Gateway\wlancfg.exe
O4 - HKLM\..\Run: [Windows ServeAd] C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVAD.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Program Files\Norton Internet Security\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\SYSTEM\E_S5I0B1.EXE /P26 "EPSON Stylus CX3600 Series" /M "Stylus CX3600" /EF "HKCU"
O4 - Startup: EPSON CardMonitor.lnk = C:\Program Files\epson\EPSON CardMonitor\EPSON CardMonitor1.2.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Pages similaires - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Pages liées - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedCon...bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab
O16 - DPF: {3446598E-00E4-4B5E-99A6-87ECCA8324A2} - http://akamai.downloadv3.com/binaries/EGDA...ACCESS_1056.cab
O16 - DPF: {FF521631-31DA-48AC-B4E9-390A7694C906} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EC...30_1_212_EN.cab
merci de votre aide
j'ai effectuer des scan avec secuser, spy-destroy adaware et suis infecté, par
21 files infected par TROJ WINTRIM.CD et en plus il indique non cleanable.
le premier se trouve dans c\windows\tmlpmg.exe
et les vingt autres dans c\restore\temp\A0110446 .....
suis egalement infecté par : SEVEAD WINSERVAD.EXE
j'ai pourtant effectué les scan pour esayer de les virer en configurant le demarrage en mode sans echec, puis aussi passer norton et panda en ligne en desactivant restauration systeme mais rien a faire....
d'autre part j' ai efectué une recherche google sur:
WINSERVAD.EXE ( mon 1er post) et c' est aussi un malware voici l'adresse google : http://www.google.fr/search?sourceid=navcl...winservad%2Eexe
le TROJ WINTRM.CD et le malware WINSERVAD sont ils liés ? comment les virer;
merci de votre aide
voici maintenant le copier colle du rapport de Hijackthis :
Logfile of HijackThis v1.99.0
Scan saved at 11:26:18, on 22/12/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAM FILES\NORTON INTERNET SECURITY\CCPXYSVC.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\PROGRAM FILES\COMPAQ\EASY ACCESS BUTTON SUPPORT\STARTEAK.EXE
C:\PROGRAM FILES\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
C:\COMPAQ\CPQINET\CPQINET.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\DCFSSVC.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\INVENTEL\GATEWAY\WLANCFG.EXE
C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVAD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\E_S5I0B1.EXE
C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVSUIT.EXE
C:\PROGRAM FILES\EPSON\EPSON CARDMONITOR\EPSON CARDMONITOR1.2.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirec...=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirec...=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirec...=search&ap=b204
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\PROGRAM FILES\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\PROGRAM FILES\EPSON\EPSON WEB-TO-PAGE\EPSON WEB-TO-PAGE.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Program Files\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [Dcfssvc] C:\WINDOWS\System32\Drivers\dcfssvc.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\SYSTEM\E_S5I0B1.EXE /P26 "EPSON Stylus CX3600 Series" /O5 "LPT1:" /M "Stylus CX3600"
O4 - HKLM\..\Run: [wlancfg] C:\Program Files\Inventel\Gateway\wlancfg.exe
O4 - HKLM\..\Run: [Windows ServeAd] C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVAD.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Program Files\Norton Internet Security\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\SYSTEM\E_S5I0B1.EXE /P26 "EPSON Stylus CX3600 Series" /M "Stylus CX3600" /EF "HKCU"
O4 - Startup: EPSON CardMonitor.lnk = C:\Program Files\epson\EPSON CardMonitor\EPSON CardMonitor1.2.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Pages similaires - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Pages liées - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedCon...bin/AvSniff.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab
O16 - DPF: {3446598E-00E4-4B5E-99A6-87ECCA8324A2} - http://akamai.downloadv3.com/binaries/EGDA...ACCESS_1056.cab
O16 - DPF: {FF521631-31DA-48AC-B4E9-390A7694C906} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EC...30_1_212_EN.cab
merci de votre aide
A voir également:
- Trojan witrim.cd / servead winservad.exe
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Virus trojan al11 ✓ - Forum Virus
- Csrss.exe trojan fr ✓ - Forum Virus
- Trojan win32 - Forum Virus
2 réponses
salut il faut d abord desactiver ta restauration systeme et refaire
ton scanne et remettre ta restauration
puis tu vas dans recherche tu tapes temp et tu supprime tout
les fichiers temp
c et important de desactiver ta resto parcequ elle est infecter
regarde c\restore\temp\A0110446
desactiver puis reactiver ok
les fichier temp supprime tout !
ton scanne et remettre ta restauration
puis tu vas dans recherche tu tapes temp et tu supprime tout
les fichiers temp
c et important de desactiver ta resto parcequ elle est infecter
regarde c\restore\temp\A0110446
desactiver puis reactiver ok
les fichier temp supprime tout !
Salut !
Comme
Mikle 29 je suis infecté Par TROJ WINTRIM.CD dans : c\windows\tmlpmg.exe
Je n'ai pas trouvé encore la solution malgré les conseils glanés à droite à gauche , sur ce site, sur le site PC astuces, ou sur le site secuser.com.
Je vous transmet ce que j'ai trouvé (que je n'arrive pas à appliquer) sur le site a² : http://www.emsisoft.net/fr/
-+-+-+-+-+-+-+-+-+-+-+-+---+-+-+--+-+-+-+-+-
Voici le texte en copier coller :
Élimination manuelle des Trojans (Chevaux de Troie)
Malheureusement dans l'Internet, il y a une quantité presque incontrôlable de Trojans.
C'est pour cette raison, que nous avons écrit ce tutoriel.
Si vous prenez ces étapes suivantes vraiment à coeur dans la lutte contre les Trojans,
vous pouvez éliminer efficacement 95 % des Trojans présents se trouvant actuellement en circulation.
Identifier les Trojans :
- Vous trouvez les Trojans comme suit :
Comment puis-je reconnaitre, si un Trojan est installé dans mon système?
Eh bien! La plupart du temps, cela se manifest du fait que vous êtes attaqué par un agresseur.
Soit le lecteur CD-ROM s'ouvre et se ferme tout seul ou alors il se passe des chose très étranges.
Des programme peuvent disparaitre, des fenêtres qui s'ouvrent soudainement
ou tout à coup votre ordinateur peut se mettre hors circuit comme par enchantement.
D'où viennent les Trojans?
Trojans sont des programmes autonomes, que l'on doit soi-même installer et qui contrairement au Virus,
ne peuvent pas se propager d'eux-même.
Généralement ces Trojans sont envoyés intentionnellement par ICQ et par émails,
par des soit disant "Copains" qui veulent s'amuser.
Aussitôt que vous obtenez un programme (généralement camouflé) par ICQ et que vous le lancé,
le Trojan s'installe dans le système.
Les Trojans ont toutefois un handicap en comparaison des virus :
- Trojans doivent veiller à ce qu'ils soient chargés à chaque lancement du système.
Virus deviennent actifs par des programmes contaminés.
Afin que les Trojans soient toujours automatiquement chargés,
ils créent toujours des entrées dans certains fichiers de système.
Si on les cherche de façon ciblé et les élimine,
on peut sans remplacer complètement le système d'exploitation, se libérer de ces Trojans.
Vous devez aussi toutefois considérer, que pendant la période entre la contamination et la découverte du Trojan,
que non seulement des mots de passe ou autres données informatiques ont pu être espionnés,
mais aussi que des fichiers de système on pu être manipulés ou remplacés, laissant des ports de service ouverts,
quand bien même le Trojan découvert fut supprimé.
Dans ce cas, une nouvelle installation du système d'exploitation est donc recommandé.
Les entrées dans le système
Puisque les Trojans sont chargés par les entrées à chaque lancement du système,
le mieux c'est de les éliminer à cet endroit.
Il y a plusieurs possibilités, ou les Trojans placent leurs entrées de lancement:
Menu "Démarrer" - Autostart :
La plus simple des possibilités, mais elle est rarement employée,
car c'est à cet emplacement que les Trojans se laissent le plus facilement trouvés.
Pour les éliminés il faut simplement supprimer l'entrée qui se trouve dans le menu "Démarrer" dans le dossier Auto-Start.
autoexec.bat
Ce fichier de configuration, démarre au lancement du système et peut-être ainsi affiché:
Cliquez sur "Démarrer" - Exécuter.
Dans le champ vous donnez 'sysedit'. Il apparait alors un éditeur avec les fichiers de système éditables les plus importants.
Une de ces fenêtres est celle de autoexec.bat.
Ce fichier contient l'ensemble des commandes à exécuter à l'amorçage du système,
bien avant que l'interface graphique soit chargé.
Ici, Il y a une chance sur 10, que des Trojans utilisent ce moyen.
config.sys
Ce fichier peut-être également affiché avec "sysedit". config.sys est démarré bien avant autoexec.bat
et charge les différents Pilotes de système.
Ici, aussi 1 chance sur 10, que des Trojans utilisent ce moyen.
Certainement, parce que le démarrage du système n'a pas été encore chargé,
et qu'ils n'ont pas la possibilité de se charger comme programme autonome.
system.ini
Ce fichier peut-être aussi édité avec "sysedit".
Rechercher la ligne où se trouve et débute 'shell='.
Dans cette ligne des Trojans peuvent être démarrés, cependant, pour ainsi dire jamais !
Il se peut que se soit un programme inoffensif comme par ex : l'Explorer qui peut démarrer.
Toutefois, plusieurs fichiers spécifiés ici méritent une attention très grande.
win.ini
Ce fichier est le dernier qui peut également être affiché avec "sysedit".
La probabilité de trouver ici un Trojan, est déjà légèrement plus élevée.
Rechercher la ligne qui débute avec 'run=' ou 'load='.
De là, un Trojan peut-être démarré, mais chaque entrée ne représente pas impérativement un tel appel.
Système de registre (Registry)
99 % des Trojans utilisent ce moyen, pour se charger automatiquement.
La raison est relativement très simple :
- Le registre est pour le profane pratiquement incontrôlable et offre la plus grande des possibilités pour se camoufler.
La base de registre de Windows
Vous pouvez ouvrir le "Registry" avec les étapes suivantes :
- Cliquez sur Démarrer - Exécuter et tapez dans le champ 'regedit'.
Il s'ouvre alors le programme regedit.exe, c'est le même type d'arbre généalogique que celle de l'Explorateur-Windows.
Pas de panique, maintenant vous ne devez pas connaitre tout le "Registry" par coeur !
Pour la recherche de Trojans, il y a uniquement que quelques dossiers du registre qui sont pour nous interessants:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
ainsi que
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
Dans ces dossiers du registre sont fixés, quels programmes seront chargés au démarrage du système.
Dans votre registre, vous allez probablement trouver dedans déjà plusieurs entrées,
cependant se ne sont pas inévitablement des Trojans, mais généralement des choses comme des Players,
des utilitaires pour la carte graphique, des scanners de Virus et autres applications travaillant en arrière plan.
Élimination des Trojans
Vous éliminez les Trojans de cette façon
Maintenant, vous apprenez ici, comment vous vous débarassez des Trojans en peu d'étapes :
Supprimez les entrées de démarrage
Si vous pensez avoir trouvé une entrée suspecte dans le Registry, vous pouvez l'éradiquer.
Par mesure de sécurité noté s.v.p toutes les entrées que vous supprimez dans le Registry !
Vous devriez faire ceci pour deux raisons :
1. Vous avez besoin plus tard de la valeur de l'entrée pour éliminer proprement les Trojans du système.
2. Si par inadvertance malheureuse, vous supprimiez une fausse entrée,
cela peut entraîner des conséquences imprévisibles jusqu'à un plantage du système.
Redémarrage :
Après avoir supprimé une entrée de démarrage, vous devez absolument et au plus vite faire un reamorçage du système.
Puisque quelques Trojans mettent périodiquement à jour les entrées du Registry,
vous ne devriez pas retardez inutilement le redémarrage du système,
mais le faire immédiatement après l'élimination de l'entrée.
Le reamorçage est par conséquent nécessaire parce que, tant que le trojan est en marche si l'on peut dire, il ne peut pas être supprimé.
Après le relancement du système le Trojan n'est plus actif.
Suppression du Trojan lui-même
La valeur supprimée de l'entrée, notée dans l'étape N°1, est maintenant importante.
Cette valeur contient le nom de fichier du Trojan dans le système de fichier.
Pour éliminer parfaitement le Trojan du système, ce fichier programme doit être aussi supprimé.
Pour cela, suivre les étapes suivantes :
- Cliquez sur Démarrer - Rechercher après les fichiers et les dossiers.
Là, vous donnez le nom du fichier Trojan que vous aviez noté, et faite un scan de tout vos disques dur dans le système.
Le trojan trouvé peut-être alors eradiqué. Il est aussi tout à fait possible qu'un Trojan se soit partager dans le système.
Vous pouvez alors supprimer tous ces fichiers.
ATTENTION! Quelques Trojans utilisent des noms de fichier semblablent à ceux des fichiers de système,
pour éviter que l'utilisateur ne les supprime et/ou pour qu'il ne se méfie de rien.
Pas tout ce qui porte le nom WIN, SYSTEM, KERNEL ou 32, est automatiquement inoffensif.
Le Trojan est supprimé
Ou bien pas encore ? Pas du tout ?
Alors, reprendre encore une fois les étapes depuis "Identifier les Trojans" jusquà "Suppression du Trojan".
Si un Trojan s'avérait être très tenace, il existe encore la possibilité, de redémarrer le système en "Mode sans échec" (3).
Dès la mise en marche de l'ordinateur, il s'affiche un court texte :
- "Démarrage de Windows" appuyez sur la touche F8 pendant 3 à 4 secondes et Windows vous propose un menu de démarrage.
Dans le menu vous choisissez "mode sans échec".
Le démarrage du système peut durer un peu plus longtemps que la normale parce ce qu'il ne charge que les programmes pilotes essentiels.
Il n'y a pas de réseau à disposition, etc.
En outre, la dissolution d'écran est réduite à un minimum. Reprenez les étapes de 1 à 3.
Éliminer les Trojans (Courte variante)
Il y a naturellement encore une possibilité plus rapide de se débarasser des Trojans - sans un nouveau redémarrage de l'ordinateur.
Pour cela, des connaissances plus fondées sur le système sont nécessaires.
Vous nécessitez pour cela d'un Process-Viewer qui peut "killer" les Process.
Dans le système d'exploitation Windows NT/2000, un Process-Viewer est déjà intégré.
On peut l'obtenir en faisant un clic-droit avec la souris sur la barre des Tâches, vous obtenez alors un menu contextuel,
choisissez : - "Gestionnaire des Tâches".
Il existe aussi de tels Tools pour Windows 9x.
De cette façon très ciblé, les process du programme Trojan peuvent être supprimés et terminés.
Après cette terminaison par force du Trojan, on peut le rechercher et le supprimer.
Car aussi longtemps que le process est en fonction, le fichier sera lui-même protégé par Windows contre une suppression de celui-ci.
Bonne chance dans la recherche des Trojans!
Remarque
Ce tutoriel, n'est pas une garantie à 100%, pour rester sans Trojans.
Ici, nous vous donnons seulement des conseils utiles et des indications pour pouvoir supprimer des Trojans avec de simples moyens.
Nous ne prenons aucune responsabilité sur la justesse de ce texte,
et ne sommes en aucune circonstance responsable pour d'éventuels dommages qui pourraient subvenir après la lecture
et l'execution des différentes étapes à suivre de ce tutoriel.
Comme
Mikle 29 je suis infecté Par TROJ WINTRIM.CD dans : c\windows\tmlpmg.exe
Je n'ai pas trouvé encore la solution malgré les conseils glanés à droite à gauche , sur ce site, sur le site PC astuces, ou sur le site secuser.com.
Je vous transmet ce que j'ai trouvé (que je n'arrive pas à appliquer) sur le site a² : http://www.emsisoft.net/fr/
-+-+-+-+-+-+-+-+-+-+-+-+---+-+-+--+-+-+-+-+-
Voici le texte en copier coller :
Élimination manuelle des Trojans (Chevaux de Troie)
Malheureusement dans l'Internet, il y a une quantité presque incontrôlable de Trojans.
C'est pour cette raison, que nous avons écrit ce tutoriel.
Si vous prenez ces étapes suivantes vraiment à coeur dans la lutte contre les Trojans,
vous pouvez éliminer efficacement 95 % des Trojans présents se trouvant actuellement en circulation.
Identifier les Trojans :
- Vous trouvez les Trojans comme suit :
Comment puis-je reconnaitre, si un Trojan est installé dans mon système?
Eh bien! La plupart du temps, cela se manifest du fait que vous êtes attaqué par un agresseur.
Soit le lecteur CD-ROM s'ouvre et se ferme tout seul ou alors il se passe des chose très étranges.
Des programme peuvent disparaitre, des fenêtres qui s'ouvrent soudainement
ou tout à coup votre ordinateur peut se mettre hors circuit comme par enchantement.
D'où viennent les Trojans?
Trojans sont des programmes autonomes, que l'on doit soi-même installer et qui contrairement au Virus,
ne peuvent pas se propager d'eux-même.
Généralement ces Trojans sont envoyés intentionnellement par ICQ et par émails,
par des soit disant "Copains" qui veulent s'amuser.
Aussitôt que vous obtenez un programme (généralement camouflé) par ICQ et que vous le lancé,
le Trojan s'installe dans le système.
Les Trojans ont toutefois un handicap en comparaison des virus :
- Trojans doivent veiller à ce qu'ils soient chargés à chaque lancement du système.
Virus deviennent actifs par des programmes contaminés.
Afin que les Trojans soient toujours automatiquement chargés,
ils créent toujours des entrées dans certains fichiers de système.
Si on les cherche de façon ciblé et les élimine,
on peut sans remplacer complètement le système d'exploitation, se libérer de ces Trojans.
Vous devez aussi toutefois considérer, que pendant la période entre la contamination et la découverte du Trojan,
que non seulement des mots de passe ou autres données informatiques ont pu être espionnés,
mais aussi que des fichiers de système on pu être manipulés ou remplacés, laissant des ports de service ouverts,
quand bien même le Trojan découvert fut supprimé.
Dans ce cas, une nouvelle installation du système d'exploitation est donc recommandé.
Les entrées dans le système
Puisque les Trojans sont chargés par les entrées à chaque lancement du système,
le mieux c'est de les éliminer à cet endroit.
Il y a plusieurs possibilités, ou les Trojans placent leurs entrées de lancement:
Menu "Démarrer" - Autostart :
La plus simple des possibilités, mais elle est rarement employée,
car c'est à cet emplacement que les Trojans se laissent le plus facilement trouvés.
Pour les éliminés il faut simplement supprimer l'entrée qui se trouve dans le menu "Démarrer" dans le dossier Auto-Start.
autoexec.bat
Ce fichier de configuration, démarre au lancement du système et peut-être ainsi affiché:
Cliquez sur "Démarrer" - Exécuter.
Dans le champ vous donnez 'sysedit'. Il apparait alors un éditeur avec les fichiers de système éditables les plus importants.
Une de ces fenêtres est celle de autoexec.bat.
Ce fichier contient l'ensemble des commandes à exécuter à l'amorçage du système,
bien avant que l'interface graphique soit chargé.
Ici, Il y a une chance sur 10, que des Trojans utilisent ce moyen.
config.sys
Ce fichier peut-être également affiché avec "sysedit". config.sys est démarré bien avant autoexec.bat
et charge les différents Pilotes de système.
Ici, aussi 1 chance sur 10, que des Trojans utilisent ce moyen.
Certainement, parce que le démarrage du système n'a pas été encore chargé,
et qu'ils n'ont pas la possibilité de se charger comme programme autonome.
system.ini
Ce fichier peut-être aussi édité avec "sysedit".
Rechercher la ligne où se trouve et débute 'shell='.
Dans cette ligne des Trojans peuvent être démarrés, cependant, pour ainsi dire jamais !
Il se peut que se soit un programme inoffensif comme par ex : l'Explorer qui peut démarrer.
Toutefois, plusieurs fichiers spécifiés ici méritent une attention très grande.
win.ini
Ce fichier est le dernier qui peut également être affiché avec "sysedit".
La probabilité de trouver ici un Trojan, est déjà légèrement plus élevée.
Rechercher la ligne qui débute avec 'run=' ou 'load='.
De là, un Trojan peut-être démarré, mais chaque entrée ne représente pas impérativement un tel appel.
Système de registre (Registry)
99 % des Trojans utilisent ce moyen, pour se charger automatiquement.
La raison est relativement très simple :
- Le registre est pour le profane pratiquement incontrôlable et offre la plus grande des possibilités pour se camoufler.
La base de registre de Windows
Vous pouvez ouvrir le "Registry" avec les étapes suivantes :
- Cliquez sur Démarrer - Exécuter et tapez dans le champ 'regedit'.
Il s'ouvre alors le programme regedit.exe, c'est le même type d'arbre généalogique que celle de l'Explorateur-Windows.
Pas de panique, maintenant vous ne devez pas connaitre tout le "Registry" par coeur !
Pour la recherche de Trojans, il y a uniquement que quelques dossiers du registre qui sont pour nous interessants:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
ainsi que
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
Dans ces dossiers du registre sont fixés, quels programmes seront chargés au démarrage du système.
Dans votre registre, vous allez probablement trouver dedans déjà plusieurs entrées,
cependant se ne sont pas inévitablement des Trojans, mais généralement des choses comme des Players,
des utilitaires pour la carte graphique, des scanners de Virus et autres applications travaillant en arrière plan.
Élimination des Trojans
Vous éliminez les Trojans de cette façon
Maintenant, vous apprenez ici, comment vous vous débarassez des Trojans en peu d'étapes :
Supprimez les entrées de démarrage
Si vous pensez avoir trouvé une entrée suspecte dans le Registry, vous pouvez l'éradiquer.
Par mesure de sécurité noté s.v.p toutes les entrées que vous supprimez dans le Registry !
Vous devriez faire ceci pour deux raisons :
1. Vous avez besoin plus tard de la valeur de l'entrée pour éliminer proprement les Trojans du système.
2. Si par inadvertance malheureuse, vous supprimiez une fausse entrée,
cela peut entraîner des conséquences imprévisibles jusqu'à un plantage du système.
Redémarrage :
Après avoir supprimé une entrée de démarrage, vous devez absolument et au plus vite faire un reamorçage du système.
Puisque quelques Trojans mettent périodiquement à jour les entrées du Registry,
vous ne devriez pas retardez inutilement le redémarrage du système,
mais le faire immédiatement après l'élimination de l'entrée.
Le reamorçage est par conséquent nécessaire parce que, tant que le trojan est en marche si l'on peut dire, il ne peut pas être supprimé.
Après le relancement du système le Trojan n'est plus actif.
Suppression du Trojan lui-même
La valeur supprimée de l'entrée, notée dans l'étape N°1, est maintenant importante.
Cette valeur contient le nom de fichier du Trojan dans le système de fichier.
Pour éliminer parfaitement le Trojan du système, ce fichier programme doit être aussi supprimé.
Pour cela, suivre les étapes suivantes :
- Cliquez sur Démarrer - Rechercher après les fichiers et les dossiers.
Là, vous donnez le nom du fichier Trojan que vous aviez noté, et faite un scan de tout vos disques dur dans le système.
Le trojan trouvé peut-être alors eradiqué. Il est aussi tout à fait possible qu'un Trojan se soit partager dans le système.
Vous pouvez alors supprimer tous ces fichiers.
ATTENTION! Quelques Trojans utilisent des noms de fichier semblablent à ceux des fichiers de système,
pour éviter que l'utilisateur ne les supprime et/ou pour qu'il ne se méfie de rien.
Pas tout ce qui porte le nom WIN, SYSTEM, KERNEL ou 32, est automatiquement inoffensif.
Le Trojan est supprimé
Ou bien pas encore ? Pas du tout ?
Alors, reprendre encore une fois les étapes depuis "Identifier les Trojans" jusquà "Suppression du Trojan".
Si un Trojan s'avérait être très tenace, il existe encore la possibilité, de redémarrer le système en "Mode sans échec" (3).
Dès la mise en marche de l'ordinateur, il s'affiche un court texte :
- "Démarrage de Windows" appuyez sur la touche F8 pendant 3 à 4 secondes et Windows vous propose un menu de démarrage.
Dans le menu vous choisissez "mode sans échec".
Le démarrage du système peut durer un peu plus longtemps que la normale parce ce qu'il ne charge que les programmes pilotes essentiels.
Il n'y a pas de réseau à disposition, etc.
En outre, la dissolution d'écran est réduite à un minimum. Reprenez les étapes de 1 à 3.
Éliminer les Trojans (Courte variante)
Il y a naturellement encore une possibilité plus rapide de se débarasser des Trojans - sans un nouveau redémarrage de l'ordinateur.
Pour cela, des connaissances plus fondées sur le système sont nécessaires.
Vous nécessitez pour cela d'un Process-Viewer qui peut "killer" les Process.
Dans le système d'exploitation Windows NT/2000, un Process-Viewer est déjà intégré.
On peut l'obtenir en faisant un clic-droit avec la souris sur la barre des Tâches, vous obtenez alors un menu contextuel,
choisissez : - "Gestionnaire des Tâches".
Il existe aussi de tels Tools pour Windows 9x.
De cette façon très ciblé, les process du programme Trojan peuvent être supprimés et terminés.
Après cette terminaison par force du Trojan, on peut le rechercher et le supprimer.
Car aussi longtemps que le process est en fonction, le fichier sera lui-même protégé par Windows contre une suppression de celui-ci.
Bonne chance dans la recherche des Trojans!
Remarque
Ce tutoriel, n'est pas une garantie à 100%, pour rester sans Trojans.
Ici, nous vous donnons seulement des conseils utiles et des indications pour pouvoir supprimer des Trojans avec de simples moyens.
Nous ne prenons aucune responsabilité sur la justesse de ce texte,
et ne sommes en aucune circonstance responsable pour d'éventuels dommages qui pourraient subvenir après la lecture
et l'execution des différentes étapes à suivre de ce tutoriel.
