Sujet Précédent Sujet Suivant

Log hijackthis pour conseils SVP

andré -  
 shadowwar -
Voila c'est pas de la tarte et je vous remercie d'avance de bien vouloir m'aider en attendant vos réponses je me prosterne devant votre génie informatique! on y va,

je n'ai plus la ligne executer ds le menu de demarrage
qd je supprime un fichier il pas plus par la corbeille,

ad-aware a tendance a ce planter a la fin du scan et refuses de me supprimer c:\windows\system32\m6julg1916.dll
avast se plante sur c:\pagesfiles

page de démarrage search the web

Logfile of HijackThis v1.99.0
Scan saved at 10:24:46, on 12/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\SED\SED.exe
C:\Program Files\Tweak-XP\blads.exe
C:\Program Files\Tweak-XP\popup.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\crqj.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\klum\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mbhxi.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mbhxi.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mbhxi.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mbhxi.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mbhxi.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mbhxi.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mbhxi.dll/sp.html#10001
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SESync] "C:\Program Files\SED\SED.exe"
O4 - HKLM\..\Run: [javatp.exe] C:\WINDOWS\system32\javatp.exe
O4 - HKCU\..\Run: [BlockAds] C:\Program Files\Tweak-XP\blads.exe
O4 - HKCU\..\Run: [Pop-Up-Blocker] C:\Program Files\Tweak-XP\popup.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STManager] "C:\Program Files\SpeedTouch\Dr SpeedTouch\drst.exe" -b
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted IP range: (HKLM)
O16 - DPF: RaptisoftGameLoader -
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} -
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} -
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} -
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099228269418
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} -
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} -
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} -
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} -
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} -
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} -
O21 - SSODL: eplrr - {B137FBCA-78E7-453B-B080-A9FF895B6F2A} - C:\WINDOWS\System32\eplrr3.dll
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Administration IIS - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Publication FTP - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Security Agent - Unknown - C:\WINDOWS\system32\scagent.exe (file missing)
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Simple Mail Transfer Protocol (SMTP) - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Service SNMP - Unknown - C:\WINDOWS\System32\snmp.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Publication World Wide Web - Unknown - C:\WINDOWS\System32\inetsrv\inetinfo.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\crqj.exe

c'est pas beau ca! merci encore de m'aider a faire tourner ce systeme correctement

105 réponses

Précédent
Réponse 21 / 105
bernie61
 
salut Pierre
inutile de remplir le serveur CMC si 3 lignes à effacer
O1 - Hosts: 69.20.16.183 auto.search.msn.com Méchant
Méchant Cette inscription doit être effacée immédiatement. Doit être effacé !
O1 - Hosts: 69.20.16.183 search.netscape.com Méchant
Méchant Cette inscription doit être effacée immédiatement. Doit être effacé !
O1 - Hosts: 69.20.16.183 ieautosearch Méchant
Méchant Cette inscription doit être effacée immédiatement. Doit être effacé !
et même là http://hijackthis.de/fr si tu regardes bien tu peux stocker le msg et alos donner ici simplement l'adresse à André

rappel scan automatique à utiliser avec prudence, ne voit pas tout et parfois prend pour méchant des bons
a+
0
andre
 
Salut Bernie61,

Merci pour ta réponse, mais j'ai déja fait ce que tu dit a plusieurs reprise et ca revient a chaque fois
n'y a t'il pas autre choses qui serait associé?

sympa de bien vouloir m'aider!

a+
0
Réponse 22 / 105
S!Ri
 
re'

André, au post <14> tu à mis un log de dllcompare.
Comme Balltrap34 et moi te l'avons dis, il nous faudrait ce log et ceux de VX2Finder, FindIt.

tu trouveras tout ca ici:
http://www.downloads.subratam.org/DllCompare.exe
http://downloads.subratam.org/VX2Finder(126).exe
http://computercops.biz/zx/Zupe/Find%20It%20NT-2K-XP.zip

Télécharge aussi:
http://www.downloads.subratam.org/KillBox.zip
Qui servira à supprimer les fichiers infectés.

Une fois les rapports postés, ne redémarre pas ton ordinateur, sinon les dll vont changer de noms et il faudra recommencer.
HijackThis ne voit qu'une partie des infections de ton problème (Spyware VX2).

Log DllCompare:
Lance le soft, clique sur [Run locate.com],
Quand le scan est terminé, clique sur [Compare],
puis une fois la comparaison fini, clique sur [Make a Log of what was Found].

Log VX2Finder(126):
Lance le soft, clique sur [Click to Find VX2.aBetterInternet],
Puis sur le bouton [Make Log],

Log FindIt:
Désarchive le fichier dans un répertoire,
Lance Find.bat
0
andre
 
voci la première partie, j'essaye le reste

* DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\ajpmgr.dll Fri 7 Jan 2005 12:29:46 A.S.R 223 201 217,97 K
C:\WINDOWS\SYSTEM32\altodisc.dll Fri 7 Jan 2005 16:41:12 A.S.R 225 376 220,09 K
C:\WINDOWS\SYSTEM32\amsldp.dll Thu 6 Jan 2005 20:46:26 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\awphelp.dll Thu 6 Jan 2005 17:54:32 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\azaola~1.dll Thu 13 Jan 2005 12:09:08 ..S.R 224 839 219,57 K
C:\WINDOWS\SYSTEM32\blowselc.dll Fri 7 Jan 2005 8:57:04 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\damrtp.dll Thu 6 Jan 2005 20:40:18 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\ddskmon.dll Fri 14 Jan 2005 12:26:46 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\dldrm.dll Sun 9 Jan 2005 15:13:38 ..S.R 222 337 217,13 K
C:\WINDOWS\SYSTEM32\dlsf.dll Thu 13 Jan 2005 14:24:26 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\dmnmodem.dll Thu 6 Jan 2005 18:35:22 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\drnaddr.dll Sat 8 Jan 2005 12:07:56 ..S.R 226 097 220,80 K
C:\WINDOWS\SYSTEM32\dsserver.dll Fri 7 Jan 2005 11:29:34 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\dywsockx.dll Fri 7 Jan 2005 18:45:32 ..S.R 226 097 220,80 K
C:\WINDOWS\SYSTEM32\e6202g~1.dll Sun 16 Jan 2005 11:06:52 ..S.R 223 221 217,99 K
C:\WINDOWS\SYSTEM32\en0ul1~1.dll Mon 3 Jan 2005 9:42:22 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\en86l1~1.dll Tue 4 Jan 2005 9:36:18 A.S.R 223 201 217,97 K
C:\WINDOWS\SYSTEM32\enjql1~1.dll Sun 2 Jan 2005 18:09:16 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\enn2l1~1.dll Wed 5 Jan 2005 15:22:34 A.S.R 225 822 220,53 K
C:\WINDOWS\SYSTEM32\enn4l1~1.dll Tue 4 Jan 2005 17:24:48 A.S.R 225 187 219,91 K
C:\WINDOWS\SYSTEM32\enp6l1~1.dll Sun 2 Jan 2005 17:39:04 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\f40o0e~1.dll Thu 13 Jan 2005 10:54:54 ..S.R 225 143 219,86 K
C:\WINDOWS\SYSTEM32\f4l00e~1.dll Tue 4 Jan 2005 17:53:34 A.S.R 223 201 217,97 K
C:\WINDOWS\SYSTEM32\fh20fra.dll Fri 7 Jan 2005 13:40:02 A.S.R 224 966 219,69 K
C:\WINDOWS\SYSTEM32\fn0021~1.dll Tue 11 Jan 2005 11:15:30 ..S.R 223 208 217,98 K
C:\WINDOWS\SYSTEM32\fpn003~1.dll Sun 16 Jan 2005 5:18:24 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\ikssuba.dll Sun 9 Jan 2005 12:43:10 ..S.R 226 097 220,80 K
C:\WINDOWS\SYSTEM32\ioshlpr.dll Thu 13 Jan 2005 5:08:08 ..S.R 225 258 219,98 K
C:\WINDOWS\SYSTEM32\irl0l5~1.dll Mon 3 Jan 2005 2:20:06 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\irp0l5~1.dll Thu 6 Jan 2005 14:12:12 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\jqvain~1.dll Thu 13 Jan 2005 14:02:30 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\jxproxy.dll Fri 7 Jan 2005 16:59:00 A.S.R 224 792 219,52 K
C:\WINDOWS\SYSTEM32\kfdes.dll Sun 9 Jan 2005 14:36:24 ..S.R 222 760 217,54 K
C:\WINDOWS\SYSTEM32\kfdlt1.dll Sat 8 Jan 2005 19:05:44 ..S.R 223 023 217,79 K
C:\WINDOWS\SYSTEM32\l06ola~1.dll Tue 18 Jan 2005 10:14:38 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\lv0809~1.dll Sat 8 Jan 2005 19:43:44 ..S.R 223 023 217,79 K
C:\WINDOWS\SYSTEM32\lv2609~1.dll Sun 2 Jan 2005 17:34:28 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\lvlq09~1.dll Fri 14 Jan 2005 13:21:18 ..S.R 222 945 217,72 K
C:\WINDOWS\SYSTEM32\lvn409~1.dll Tue 18 Jan 2005 22:29:10 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\lvnm09~1.dll Thu 6 Jan 2005 9:55:40 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\m0pola~1.dll Fri 7 Jan 2005 12:01:40 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\m4460e~1.dll Wed 12 Jan 2005 11:38:18 ..S.R 225 483 220,20 K
C:\WINDOWS\SYSTEM32\m4640e~1.dll Tue 11 Jan 2005 23:12:02 ..S.R 225 198 219,92 K
C:\WINDOWS\SYSTEM32\m4rm0e~1.dll Sun 2 Jan 2005 19:13:54 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\mhl_hp.dll Wed 12 Jan 2005 9:23:14 ..S.R 224 839 219,57 K
C:\WINDOWS\SYSTEM32\mjftsui2.dll Fri 7 Jan 2005 11:32:54 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\mkv1_0.dll Fri 7 Jan 2005 8:37:30 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\mzlbui.dll Sun 9 Jan 2005 15:09:02 ..S.R 226 097 220,80 K
C:\WINDOWS\SYSTEM32\n4l80e~1.dll Tue 18 Jan 2005 8:00:50 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\n4p40e~1.dll Tue 11 Jan 2005 9:38:42 ..S.R 225 313 220,03 K
C:\WINDOWS\SYSTEM32\naptools.dll Sat 8 Jan 2005 10:31:52 ..S.R 222 377 217,16 K
C:\WINDOWS\SYSTEM32\netvr.dll Fri 24 Dec 2004 9:55:58 A.SH. 98 816 96,50 K
C:\WINDOWS\SYSTEM32\paofmap.dll Fri 7 Jan 2005 16:00:16 A.S.R 224 792 219,52 K
C:\WINDOWS\SYSTEM32\pqd.dll Thu 6 Jan 2005 16:00:48 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\r4r60e~1.dll Tue 18 Jan 2005 5:21:48 ..S.R 222 567 217,35 K
C:\WINDOWS\SYSTEM32\rupdd.dll Thu 6 Jan 2005 11:06:04 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\s0pu0a~1.dll Tue 4 Jan 2005 17:27:10 A.S.R 223 201 217,97 K
C:\WINDOWS\SYSTEM32\sdns.dll Sun 2 Jan 2005 17:36:04 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\sgknu3~1.dll Fri 7 Jan 2005 17:02:16 A.S.R 226 097 220,80 K
C:\WINDOWS\SYSTEM32\soksc~1.dll Fri 7 Jan 2005 11:49:40 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\sorng.dll Fri 7 Jan 2005 17:10:14 A.S.R 222 377 217,16 K
C:\WINDOWS\SYSTEM32\ssmlib.dll Thu 6 Jan 2005 15:36:52 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\uaat.dll Sun 9 Jan 2005 13:18:50 ..S.R 226 097 220,80 K
C:\WINDOWS\SYSTEM32\uhrv42a.dll Fri 7 Jan 2005 12:20:54 A.S.R 223 201 217,97 K
C:\WINDOWS\SYSTEM32\wpbclnt.dll Fri 7 Jan 2005 12:51:42 A.S.R 224 792 219,52 K
C:\WINDOWS\SYSTEM32\wwbclnt.dll Thu 6 Jan 2005 16:58:12 A.S.R 224 922 219,65 K
________________________________________________

2 522 items found: 2 522 files (66 H/S), 0 directories.
Total of file sizes: 449 706 537 bytes 428,87 M

Administrator Account = Vrai

--------------------End log---------------------
0
andre
 
deuxième partie:

j'ai vx2finder sur mon bureau mais qd j'essaye d'ouvrir il me demande avec quel prog, j'ai tenté le bloc-note ca va pas, signe cabalistique
0
andre
 
Troisième partie:

log find it---->j'ai ca : please disregard any"file not found" messages, they are a normal part of the search process.

beginning strings.exe.... this potion of the search can take several minutes, please allow it to run until the log appears.

il semble y avoir un scan pdt environ 5 minute, puis

le chemin d'acces est intouvable.

j'ai suivit tes instructions pas a pas, c'est surement moi qui y comprends, je commence a désesperer

en attendant ta réponse je te remercie bcp de t'occuper de moi et j'espere que je te fait pas perdre ton temps
0
Réponse 23 / 105
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Re'

Coupe ta connexion internet, execute KillBox,
Selectionne: Replace on Reboot
Coche: Use Dummy

Copie les lignes suivantes dans killbox et clique sur le bouton avec l'icone rouge, croix blanche. (ne redemarre pas tant que ce n'est pas fini)

C:\WINDOWS\SYSTEM32\ajpmgr.dll
C:\WINDOWS\SYSTEM32\altodisc.dll
C:\WINDOWS\SYSTEM32\amsldp.dll
C:\WINDOWS\SYSTEM32\awphelp.dll
C:\WINDOWS\SYSTEM32\azaola~1.dll
C:\WINDOWS\SYSTEM32\blowselc.dll
C:\WINDOWS\SYSTEM32\damrtp.dll
C:\WINDOWS\SYSTEM32\ddskmon.dll
C:\WINDOWS\SYSTEM32\dldrm.dll
C:\WINDOWS\SYSTEM32\dlsf.dll
C:\WINDOWS\SYSTEM32\dmnmodem.dll
C:\WINDOWS\SYSTEM32\drnaddr.dll
C:\WINDOWS\SYSTEM32\dsserver.dll
C:\WINDOWS\SYSTEM32\dywsockx.dll
C:\WINDOWS\SYSTEM32\e6202g~1.dll
C:\WINDOWS\SYSTEM32\en0ul1~1.dll
C:\WINDOWS\SYSTEM32\en86l1~1.dll
C:\WINDOWS\SYSTEM32\enjql1~1.dll
C:\WINDOWS\SYSTEM32\enn2l1~1.dll
C:\WINDOWS\SYSTEM32\enn4l1~1.dll
C:\WINDOWS\SYSTEM32\enp6l1~1.dll
C:\WINDOWS\SYSTEM32\f40o0e~1.dll
C:\WINDOWS\SYSTEM32\f4l00e~1.dll
C:\WINDOWS\SYSTEM32\fh20fra.dll
C:\WINDOWS\SYSTEM32\fn0021~1.dll
C:\WINDOWS\SYSTEM32\fpn003~1.dll
C:\WINDOWS\SYSTEM32\ikssuba.dll
C:\WINDOWS\SYSTEM32\ioshlpr.dll
C:\WINDOWS\SYSTEM32\irl0l5~1.dll
C:\WINDOWS\SYSTEM32\irp0l5~1.dll
C:\WINDOWS\SYSTEM32\jqvain~1.dll
C:\WINDOWS\SYSTEM32\jxproxy.dll
C:\WINDOWS\SYSTEM32\kfdes.dll
C:\WINDOWS\SYSTEM32\kfdlt1.dll
C:\WINDOWS\SYSTEM32\l06ola~1.dll
C:\WINDOWS\SYSTEM32\lv0809~1.dll
C:\WINDOWS\SYSTEM32\lv2609~1.dll
C:\WINDOWS\SYSTEM32\lvlq09~1.dll
C:\WINDOWS\SYSTEM32\lvn409~1.dll
C:\WINDOWS\SYSTEM32\lvnm09~1.dll
C:\WINDOWS\SYSTEM32\m0pola~1.dll
C:\WINDOWS\SYSTEM32\m4460e~1.dll
C:\WINDOWS\SYSTEM32\m4640e~1.dll
C:\WINDOWS\SYSTEM32\m4rm0e~1.dll
C:\WINDOWS\SYSTEM32\mhl_hp.dll
C:\WINDOWS\SYSTEM32\mjftsui2.dll
C:\WINDOWS\SYSTEM32\mkv1_0.dll
C:\WINDOWS\SYSTEM32\mzlbui.dll
C:\WINDOWS\SYSTEM32\n4l80e~1.dll
C:\WINDOWS\SYSTEM32\n4p40e~1.dll
C:\WINDOWS\SYSTEM32\naptools.dll
C:\WINDOWS\SYSTEM32\netvr.dll
C:\WINDOWS\SYSTEM32\paofmap.dll
C:\WINDOWS\SYSTEM32\pqd.dll
C:\WINDOWS\SYSTEM32\r4r60e~1.dll
C:\WINDOWS\SYSTEM32\rupdd.dll
C:\WINDOWS\SYSTEM32\s0pu0a~1.dll
C:\WINDOWS\SYSTEM32\sdns.dll
C:\WINDOWS\SYSTEM32\sgknu3~1.dll
C:\WINDOWS\SYSTEM32\soksc~1.dll
C:\WINDOWS\SYSTEM32\sorng.dll
C:\WINDOWS\SYSTEM32\ssmlib.dll
C:\WINDOWS\SYSTEM32\uaat.dll
C:\WINDOWS\SYSTEM32\uhrv42a.dll
C:\WINDOWS\SYSTEM32\wpbclnt.dll
C:\WINDOWS\SYSTEM32\wwbclnt.dll
C:\WINDOWS\SYSTEM32\Guard.tmp

Reboot et reposte un log DllCompare.
0
Réponse 24 / 105
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
André,

Regarde sur cette page:

http://www.subratam.org/?page=removal

et download VX2 Finder Version Msg126
Poste le rapport à la suite de DllCompare.
0
andre
 
est-ca? j'espere prcq j'agonise la! mes force m'abandonne mon hd se rempli plus que 2GO, c'est la fin! rhhhaaaa

svp les gars faites qqe chose, merci

Log for VX2.BetterInternet File Finder (msg126)

Files Found---

Additional Files---

Keys Under Notify---
crypt32chain
cryptnet
cscdll
NetCache
ScCertProp
Schedule
sclgntfy
SensLogn
termsrv
wlballoon


Guardian Key--- is called:

User Agent String---
{BCA79424-6C4D-4208-9C3E-EF24934BB18B}


127.0.0.1 localhost
127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com
69.20.16.183 ieautosearch
69.20.16.183 ieautosearch
0
andre
 
au fait autre chose, j'ai remarqué ds ms config, ds l'os j'ai a la fin de ligne 4 apres fastdetect---->/NoExecute=Opint

peut-etre que je me trompe, mais ca ne me dit rien de bon, j'avais jamais vu ca avant
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 105
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Ok, on continue:

Ouvre Killbox,
Copie le chemin:
C:\RECYCLER\Desktop.ini

et clique sur le bouton rouge.

Reposte un log DllCompare pour voir si on a tout effacé.

Fait aussi:
Menu Démarrer, executer,
entre Regedit
Cheche la clef

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Et exporte là sur ton bureau. Click droit dessus, edit et colle le contenu à la suite.
0
andre
 
voila le dll compare, j'ai pas l'impression qu'il a grd chose de supprimer, tu en dit quoi? ceci dit au démarrage le pc semble avoir repris un peu de souffle
0
Réponse 26 / 105
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
voila le dll compare --> t'as pas oublié un truc là ?
0
andre
 
c'est pa ca?

* DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\altodisc.dll Fri 7 Jan 2005 16:41:12 A.S.R 225 376 220,09 K
C:\WINDOWS\SYSTEM32\amsldp.dll Thu 6 Jan 2005 20:46:26 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\awphelp.dll Thu 6 Jan 2005 17:54:32 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\azaola~1.dll Thu 13 Jan 2005 12:09:08 ..S.R 224 839 219,57 K
C:\WINDOWS\SYSTEM32\blowselc.dll Fri 7 Jan 2005 8:57:04 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\damrtp.dll Thu 6 Jan 2005 20:40:18 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\ddskmon.dll Fri 14 Jan 2005 12:26:46 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\dldrm.dll Sun 9 Jan 2005 15:13:38 ..S.R 222 337 217,13 K
C:\WINDOWS\SYSTEM32\dlsf.dll Thu 13 Jan 2005 14:24:26 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\dmnmodem.dll Thu 6 Jan 2005 18:35:22 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\drnaddr.dll Sat 8 Jan 2005 12:07:56 ..S.R 226 097 220,80 K
C:\WINDOWS\SYSTEM32\dsserver.dll Fri 7 Jan 2005 11:29:34 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\dywsockx.dll Fri 7 Jan 2005 18:45:32 ..S.R 226 097 220,80 K
C:\WINDOWS\SYSTEM32\e6202g~1.dll Sun 16 Jan 2005 11:06:52 ..S.R 223 221 217,99 K
C:\WINDOWS\SYSTEM32\en0ul1~1.dll Mon 3 Jan 2005 9:42:22 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\en86l1~1.dll Tue 4 Jan 2005 9:36:18 A.S.R 223 201 217,97 K
C:\WINDOWS\SYSTEM32\enjql1~1.dll Sun 2 Jan 2005 18:09:16 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\enn2l1~1.dll Wed 5 Jan 2005 15:22:34 A.S.R 225 822 220,53 K
C:\WINDOWS\SYSTEM32\enn4l1~1.dll Tue 4 Jan 2005 17:24:48 A.S.R 225 187 219,91 K
C:\WINDOWS\SYSTEM32\enp6l1~1.dll Sun 2 Jan 2005 17:39:04 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\f40o0e~1.dll Thu 13 Jan 2005 10:54:54 ..S.R 225 143 219,86 K
C:\WINDOWS\SYSTEM32\f4l00e~1.dll Tue 4 Jan 2005 17:53:34 A.S.R 223 201 217,97 K
C:\WINDOWS\SYSTEM32\fh20fra.dll Fri 7 Jan 2005 13:40:02 A.S.R 224 966 219,69 K
C:\WINDOWS\SYSTEM32\fn0021~1.dll Tue 11 Jan 2005 11:15:30 ..S.R 223 208 217,98 K
C:\WINDOWS\SYSTEM32\fpn003~1.dll Sun 16 Jan 2005 5:18:24 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\ikssuba.dll Sun 9 Jan 2005 12:43:10 ..S.R 226 097 220,80 K
C:\WINDOWS\SYSTEM32\ioshlpr.dll Thu 13 Jan 2005 5:08:08 ..S.R 225 258 219,98 K
C:\WINDOWS\SYSTEM32\irl0l5~1.dll Mon 3 Jan 2005 2:20:06 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\irp0l5~1.dll Thu 6 Jan 2005 14:12:12 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\j4p0le~1.dll Wed 19 Jan 2005 13:19:24 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\jqvain~1.dll Thu 13 Jan 2005 14:02:30 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\jxproxy.dll Fri 7 Jan 2005 16:59:00 A.S.R 224 792 219,52 K
C:\WINDOWS\SYSTEM32\kfdes.dll Sun 9 Jan 2005 14:36:24 ..S.R 222 760 217,54 K
C:\WINDOWS\SYSTEM32\kfdlt1.dll Sat 8 Jan 2005 19:05:44 ..S.R 223 023 217,79 K
C:\WINDOWS\SYSTEM32\lv0809~1.dll Sat 8 Jan 2005 19:43:44 ..S.R 223 023 217,79 K
C:\WINDOWS\SYSTEM32\lv2609~1.dll Sun 2 Jan 2005 17:34:28 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\lvlq09~1.dll Fri 14 Jan 2005 13:21:18 ..S.R 222 945 217,72 K
C:\WINDOWS\SYSTEM32\lvn409~1.dll Tue 18 Jan 2005 22:29:10 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\lvnm09~1.dll Thu 6 Jan 2005 9:55:40 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\m0pola~1.dll Fri 7 Jan 2005 12:01:40 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\m4460e~1.dll Wed 12 Jan 2005 11:38:18 ..S.R 225 483 220,20 K
C:\WINDOWS\SYSTEM32\m4640e~1.dll Tue 11 Jan 2005 23:12:02 ..S.R 225 198 219,92 K
C:\WINDOWS\SYSTEM32\m4rm0e~1.dll Sun 2 Jan 2005 19:13:54 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\mhl_hp.dll Wed 12 Jan 2005 9:23:14 ..S.R 224 839 219,57 K
C:\WINDOWS\SYSTEM32\mjftsui2.dll Fri 7 Jan 2005 11:32:54 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\mkv1_0.dll Fri 7 Jan 2005 8:37:30 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\mzlbui.dll Sun 9 Jan 2005 15:09:02 ..S.R 226 097 220,80 K
C:\WINDOWS\SYSTEM32\n4l80e~1.dll Tue 18 Jan 2005 8:00:50 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\n4p40e~1.dll Tue 11 Jan 2005 9:38:42 ..S.R 225 313 220,03 K
C:\WINDOWS\SYSTEM32\naptools.dll Sat 8 Jan 2005 10:31:52 ..S.R 222 377 217,16 K
C:\WINDOWS\SYSTEM32\netvr.dll Fri 24 Dec 2004 9:55:58 A.SH. 98 816 96,50 K
C:\WINDOWS\SYSTEM32\paofmap.dll Fri 7 Jan 2005 16:00:16 A.S.R 224 792 219,52 K
C:\WINDOWS\SYSTEM32\pqd.dll Thu 6 Jan 2005 16:00:48 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\r4r60e~1.dll Tue 18 Jan 2005 5:21:48 ..S.R 222 567 217,35 K
C:\WINDOWS\SYSTEM32\rupdd.dll Thu 6 Jan 2005 11:06:04 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\s0pu0a~1.dll Tue 4 Jan 2005 17:27:10 A.S.R 223 201 217,97 K
C:\WINDOWS\SYSTEM32\sdns.dll Sun 2 Jan 2005 17:36:04 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\sgknu3~1.dll Fri 7 Jan 2005 17:02:16 A.S.R 226 097 220,80 K
C:\WINDOWS\SYSTEM32\soksc~1.dll Fri 7 Jan 2005 11:49:40 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\sorng.dll Fri 7 Jan 2005 17:10:14 A.S.R 222 377 217,16 K
C:\WINDOWS\SYSTEM32\ssmlib.dll Thu 6 Jan 2005 15:36:52 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\uaat.dll Sun 9 Jan 2005 13:18:50 ..S.R 226 097 220,80 K
C:\WINDOWS\SYSTEM32\uhrv42a.dll Fri 7 Jan 2005 12:20:54 A.S.R 223 201 217,97 K
C:\WINDOWS\SYSTEM32\wpbclnt.dll Fri 7 Jan 2005 12:51:42 A.S.R 224 792 219,52 K
C:\WINDOWS\SYSTEM32\wwbclnt.dll Thu 6 Jan 2005 16:58:12 A.S.R 224 922 219,65 K
________________________________________________

1 613 items found: 1 613 files (65 H/S), 0 directories.
Total of file sizes: 300 105 983 bytes 286,20 M

Administrator Account = Vrai

--------------------End log---------------------
0
andre
 
voila pour la clef


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\MediaContentIndex]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\lvn4095qe.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
0
Réponse 27 / 105
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Il faut effacer ces fichiers avec killBox, fait comme ceci:

Coupe ta connexion internet, execute KillBox,
Selectionne: Replace on Reboot
Coche: Use Dummy

Copie la ligne suivantes dans killbox et clique sur le bouton avec l'icone rouge, croix blanche. (ne redemarre pas tant que ce n'est pas fini)

C:\WINDOWS\SYSTEM32\altodisc.dll

recommance avec les fichiers suivants;

C:\WINDOWS\SYSTEM32\amsldp.dll
C:\WINDOWS\SYSTEM32\awphelp.dll
C:\WINDOWS\SYSTEM32\azaola~1.dll
C:\WINDOWS\SYSTEM32\blowselc.dll
C:\WINDOWS\SYSTEM32\damrtp.dll
C:\WINDOWS\SYSTEM32\ddskmon.dll
C:\WINDOWS\SYSTEM32\dldrm.dll
C:\WINDOWS\SYSTEM32\dlsf.dll
C:\WINDOWS\SYSTEM32\dmnmodem.dll
C:\WINDOWS\SYSTEM32\drnaddr.dll
C:\WINDOWS\SYSTEM32\dsserver.dll
C:\WINDOWS\SYSTEM32\dywsockx.dll
C:\WINDOWS\SYSTEM32\e6202g~1.dll
C:\WINDOWS\SYSTEM32\en0ul1~1.dll
C:\WINDOWS\SYSTEM32\en86l1~1.dll
C:\WINDOWS\SYSTEM32\enjql1~1.dll
C:\WINDOWS\SYSTEM32\enn2l1~1.dll
C:\WINDOWS\SYSTEM32\enn4l1~1.dll
C:\WINDOWS\SYSTEM32\enp6l1~1.dll
C:\WINDOWS\SYSTEM32\f40o0e~1.dll
C:\WINDOWS\SYSTEM32\f4l00e~1.dll
C:\WINDOWS\SYSTEM32\fh20fra.dll
C:\WINDOWS\SYSTEM32\fn0021~1.dll
C:\WINDOWS\SYSTEM32\fpn003~1.dll
C:\WINDOWS\SYSTEM32\ikssuba.dll
C:\WINDOWS\SYSTEM32\ioshlpr.dll
C:\WINDOWS\SYSTEM32\irl0l5~1.dll
C:\WINDOWS\SYSTEM32\irp0l5~1.dll
C:\WINDOWS\SYSTEM32\j4p0le~1.dll
C:\WINDOWS\SYSTEM32\jqvain~1.dll
C:\WINDOWS\SYSTEM32\jxproxy.dll
C:\WINDOWS\SYSTEM32\kfdes.dll
C:\WINDOWS\SYSTEM32\kfdlt1.dll
C:\WINDOWS\SYSTEM32\lv0809~1.dll
C:\WINDOWS\SYSTEM32\lv2609~1.dll
C:\WINDOWS\SYSTEM32\lvlq09~1.dll
C:\WINDOWS\SYSTEM32\lvn409~1.dll
C:\WINDOWS\SYSTEM32\lvnm09~1.dll
C:\WINDOWS\SYSTEM32\m0pola~1.dll
C:\WINDOWS\SYSTEM32\m4460e~1.dll
C:\WINDOWS\SYSTEM32\m4640e~1.dll
C:\WINDOWS\SYSTEM32\m4rm0e~1.dll
C:\WINDOWS\SYSTEM32\mhl_hp.dll
C:\WINDOWS\SYSTEM32\mjftsui2.dll
C:\WINDOWS\SYSTEM32\mkv1_0.dll
C:\WINDOWS\SYSTEM32\mzlbui.dll
C:\WINDOWS\SYSTEM32\n4l80e~1.dll
C:\WINDOWS\SYSTEM32\n4p40e~1.dll
C:\WINDOWS\SYSTEM32\naptools.dll
C:\WINDOWS\SYSTEM32\netvr.dll
C:\WINDOWS\SYSTEM32\paofmap.dll
C:\WINDOWS\SYSTEM32\pqd.dll
C:\WINDOWS\SYSTEM32\r4r60e~1.dll
C:\WINDOWS\SYSTEM32\rupdd.dll
C:\WINDOWS\SYSTEM32\s0pu0a~1.dll
C:\WINDOWS\SYSTEM32\sdns.dll
C:\WINDOWS\SYSTEM32\sgknu3~1.dll
C:\WINDOWS\SYSTEM32\soksc~1.dll
C:\WINDOWS\SYSTEM32\sorng.dll
C:\WINDOWS\SYSTEM32\ssmlib.dll
C:\WINDOWS\SYSTEM32\uaat.dll
C:\WINDOWS\SYSTEM32\uhrv42a.dll
C:\WINDOWS\SYSTEM32\wpbclnt.dll
C:\WINDOWS\SYSTEM32\wwbclnt.dll
C:\WINDOWS\SYSTEM32\Guard.tmp

Reposte un log DllCompare pour voir si on a tout effacé.

Fait aussi:
Menu Démarrer, executer,
entre Regedit
Cheche la clef

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Et exporte là sur ton bureau. Click droit dessus, edit et colle le contenu à la suite.
0
andre
 
une question, je doit faire ca ligne apres ligne? ou en selectinat tout c'est bon? prcq je viens de recommencer plusieurs fois et je vois pas si ca prend tout.

tu as pas recu la clef ou je doit recommencer?

je sais pas, mais j'ai l'impression que c'est sur la bonne voie

merci, ce serait génial si ca s'arrange!
0
andre
 
dsl ai pas eu bcp de temps, je viens seulement de terminer avec killbox, je vais continuer et je t'envoie dés que je peux

merci bcp
0
andre
 
voici la suite, j'espere que je suit bien,

Log for VX2.BetterInternet File Finder (ALL)

Files Found---

Additional Files---

Keys Under Notify---
Applets
crypt32chain
cryptnet
cscdll
ScCertProp
Schedule
sclgntfy
SensLogn
termsrv
wlballoon


Guardian Key--- is called:

Guardian Key--- :

User Agent String---
{8D548090-36A9-4B1F-BFB2-BB7F27AD3E24}
0
Réponse 28 / 105
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
j'ai du m'absenter...

Oui, il faut faire ligne par ligne.

On est sur la bonne voie, mais à chaque démarrage, les fichiers infectes ainsi que la clef de registre sont modifiés...

Il faut recommencer.

Reposte un log dllcompare et ne redemarre pas.
Je te dis quoi supprimer et ensuite tu me donnera encore une fois:

- un log DllCompare pour voir si on a tout effacé,
- un log VX2 pour comparer les clefs
- l'export de la clef: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
pour voir quelle entrée est à surpprimer.
0
Richard1 Messages postés 905 Statut Membre 190
 
Bonjour S!Ri,

C'est avec plasir que je te contacte personnellement.
Je cherche à comprendre.

Pourquoi lui demandes-tu de ne pas redémarrer?
Je croyais, jusqu'à maintenant, que redémarrer nous replaçait dans une autre perspective.... (virus, trojans et adwares en moins)

Je suis donc dans l'erreur....

Merci de m'expliquer car c'est la seule façon que j'ai pour m'améliorer. (L'aide d'experts)

D'après moi, seule la restauration de système peut ramener les problèmes encourrus...

Je te remercie, d'avance, pour ton aimable attention, si tu le veux bien.
Richard1 (Montréal, Canada)
0
S!Ri Messages postés 932 Statut Contributeur sécurité 10 > Richard1 Messages postés 905 Statut Membre
 
Salut Richard1,

La restauration système replace la configuration de Windows à une date antérieure. Avec la procedure qui suit, on enlève VX2 et seulement lui.

Comme je le disais plus haut, le fait de redémarrer la machine va changer le nom des fichiers infectés.

DllCompare, cherche les dll bloquées et créées par VX2 (noms aléatoires, datés à partir de Novembre). Il y a d'autres dll qui ne viennent pas forcément de VX2.
Avec KillBox (2.0.0.76 ou + avec l'option Replace on Reboot), on supprime ces fichiers + %system%\Guard.tmp.
Puis reboot de la machine.

Un nouveau log DllCompare pour s'assurer que tout a bien été supprimé. sinon on recommence.

Guard.tmp peut revenir. Il faut de nouveau le supprimer (sans reboot) s'il existe.
Avec KillBox (sans reboot) supprimer
C:\RECYCLER\Desktop.ini
pour retrouver les fonctions de la corbeille.

Dans le registre il y a cette clef
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
où se trouve une sous-clef avec une des dll supprimée. Le nom de cette sous-clef est différents sur chaque système et doit être supprimée.

Les Lignes superflues du fichier host doivent être supprimées. Il ne devrait rester que:
127.0.0.1 localhost
0
andré
 
voici ds un premier temps le nouveau dllCompare, c'est déja plus cool, non?


* DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\dsserver.dll Fri 7 Jan 2005 11:29:34 A.S.R 224 922 219,65 K
C:\WINDOWS\SYSTEM32\enjql1~1.dll Sun 2 Jan 2005 18:09:16 A.S.R 224 352 219,09 K
C:\WINDOWS\SYSTEM32\ir80l5~1.dll Thu 20 Jan 2005 15:39:44 ..S.R 225 814 220,52 K
C:\WINDOWS\SYSTEM32\jxproxy.dll Fri 7 Jan 2005 16:59:00 A.S.R 224 792 219,52 K
C:\WINDOWS\SYSTEM32\m4ju0e~1.dll Fri 21 Jan 2005 12:20:50 ..S.R 222 665 217,45 K
C:\WINDOWS\SYSTEM32\uhrv42a.dll Fri 7 Jan 2005 12:20:54 A.S.R 223 201 217,97 K
C:\WINDOWS\SYSTEM32\wpbclnt.dll Fri 7 Jan 2005 12:51:42 A.S.R 224 792 219,52 K
________________________________________________

1 616 items found: 1 616 files (7 H/S), 0 directories.
Total of file sizes: 290 939 599 bytes 277,46 M

Administrator Account = Vrai
0
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332 > andré
 
salut
oui c est mieux
recommence a les suppr avec la kill box er refait un dllcompare et un vx2 il nous faut les deux rapport

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
andré > balltrap34 Messages postés 16241 Statut Contributeur sécurité
 
pouvez-vous me remetre les chemin pour vx2 etc, plus facile pour moi de reprendre sur une dermière page

merci
0
Réponse 29 / 105
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
pour le registre il faut qu il ouvre le bloc note qu il coppie colle ceci c est un exemple il faut voir le nouveau log
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\MediaContentIndex]
il enregistre en reg et ensuite double clik dessus
la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 30 / 105
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Salut Balltrap34,

ca faisait un moment qu'on ne t'avais pas vu.

Il n'y a pas un - entre [ et HKEY_LOCAL_MACHINE pour supprimer une clef ?
0
Réponse 31 / 105
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
normalement la semaine je ne suis pas la because boulot (routier)
pour ta question pour virer la clef
ex
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{C10901EC-EEC8-414F-9260-EE0F643801F2}"=-

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 32 / 105
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Ok,

REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\MediaContentIndex]

pour supprimer une clef.

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\MediaContentIndex]
"DllName"=-

pour supprimer une valeur.
0
Réponse 33 / 105
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
oki c est cela

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 34 / 105
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Salut tout le monde !

André,
reposte encore une fois un DllCompare pour voir si tout a été viré puis fait comme ca:

Menu Démarrer, executer,
entre Regedit
Cheche la clef

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Et exporte là sur ton bureau. Click droit dessus, edit et colle le contenu à la suite.
0
Réponse 35 / 105
Richard1 Messages postés 905 Statut Membre 190
 
Bonjour balltrap34,

Je sens un peu de fatique chez André. Je le comprend avec toutes ces manipulations. (Le fatigué devrait être toi) lol lol

Il n'y aurait pas une façon plus aisée pour nettoyer le régistre?

Un nettoyeur de régistre ne ferait-il pas l'affaire?

Je ne sais réellement pas. je suis la conversation et...je désespère, moi qui ne fais QUE lire.

Bien amicalement

Richard1
0
Réponse 36 / 105
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
non cela ne marcherat pas c est une clef vx2 et cela n est pas possible
et le probleme est que andre a du mal a comprendre c est pas facile
la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 37 / 105
S!Ri Messages postés 932 Statut Contributeur sécurité 10
 
Salut Richard1,

Il existe bien un PlugIn pour AdAware qui enlève VX2.
http://www.lavasoftusa.com/software/addons/vx2cleaner.shtml

Mais au vu des dates des fichiers infectés, André a la nouvelle version de VX2.
0
Réponse 38 / 105
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut S!Ri
je l est proposer a andre mais je crois qu il ne la pas fait

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 39 / 105
Richard1 Messages postés 905 Statut Membre 190
 
Bonjour balltrap34,

Merci d'avoir répondu si vite.

Est-ce que tu serais insulté ou choqué si j'essayais quelque chose avec André?

Ce que je veux proposer ne peux certainement pas faire de tort et...si ça ne fonctionne pas, andré continuera CERTAINEMENT avec ta solution.

Je préfère te demander avant si tu es d'accord car tu as travaillé grandement avec andré. (Ce serait impoli de ma part de m'ingérer dans le travail sans obtenir ton accord au préalable.).

Merci de me répondre FRANCHEMENT.

Bien respectueusement

Richard1 (Montréal, Canada)
0
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
ne t inquiete pas toutes les soluces possible sont bienvenues

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Richard1 Messages postés 905 Statut Membre 190 > balltrap34 Messages postés 16241 Statut Contributeur sécurité
 
Bonjour balltrap34,

Je te remercie pour ton approbation.

Je vais donc proposer à andré le lien que j'ai trouvé. Je vais le traduire en français pour lui simplifier la vie juste au cas où.

Bonne journée,

Bien amicalement,

Richard1 (Montréal, Canada)
0
Réponse 40 / 105
Richard1 Messages postés 905 Statut Membre 190
 
Bonjour S!Ri,

Je viens de lire ton message: Je ne l'avais pas vu car je me promenais dans de nombreux sites pour trouver un outil pour enlever ce Vx2. J'ai fait des recherches sur Copernik, Google, Altavista, Exite, Jeeves, Yahoo, mama, et plusieurs autres pour ce Vx2 en me disant qu'il y a bien un outil automatique quelque part pour enlever ce Vx2. J'étais VRAIMENT absorbé dans mes recherches.

J'ai bien trouvé des scanspywares et des anti-trojans mais ils étaient tous payants. (je les ai tous essayé pour le constater).
Quelques-uns nous permettent de retirer un à un les fichiers tannants mais je cherchais un outil automatique pour andré.

Je te dis la vérité: Je suis arrivé avec un lien et...finalement, j'ai écris immédiatement à balltrap34 pour suggérer ce lien.

Ce n'est qu'ensuite que j'ai vu ta solution proposée et....ce lien est LE MÊME que le tien!!!!. lol lol lol

Tu es super! (super plus vite que moi aussi).

Je te lève mon chapeau.

Bien amicalement

Richard1
0

Discussions similaires

TI college plus (calculatrice probleme)
help39 -
Utilisateur anonyme -

3 réponses
comment taper log10 sur une TI83plus.fr ?
FFFred -
FFFred -

2 réponses
Avez-vous un VPN no logs à me conseiller ?
Utilisateur anonyme -
brupala -

4 réponses
Analyse des logs hijackthis
philnoug -
nayas13 -

35 réponses
comment utiliser la fonction log
CG -
Utilisateur anonyme -

1 réponse