TROJAN-GEN besoin d'aide à supprimer Fermé

Question

bonjour
je me bagarre avec ce virus, je n'arrive pas à le supprimer, avast le trouve, mais il revient
j'ai lu une procedure mais n'y ai rien compris, de peur de corser le probleme encore plus en faisant de mauvaises manip !
je demande de l'aide
amities

Teddy-Bear · Answer

Bonjour,Tout d'abord sous quel Windows es tu ?Les mise a jour sont elles faites ?Si non fait tes mise a jour et ensuite nous commencerons la seances!!!

beb · Answer

merci pour ton aide, j'ai windows xp qui est a jour

Teddy-Bear · Answer

Re,applique la procedure suivante:Telecharge les logiciel suivantsCWshredderhttp://telechargement.journaldunet.com/fiche/5348/2/cwshredder/Ad-Aware :http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.htmlLe patch en Français pour Ad-Aware :http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.htmlSpybot :http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.htmlEnsuite :1.tu mets à jour ces programmes2.afficher les dossiers cachés et protégés du système3.nettoyage de disque : poste de travail/clique droit sur ton disque dur/propriétés/choisir nettoyage de disque4.DESACTIVER ta restauration systeme : clique droit sur poste de travail/onglet restauration systeme/cocher " desactiver la rest.systeme".5.redémarrer en mode sans échec et effectuer les scans et nettoyage avec les 3 produits6.revenir en mode normal7.reactiver la rest.systeme8. nous tenir au courant :0) Si le probleme persiste:Telecharge:Hijackthishttp://www.hijackthis.de/downloads/hijackthis_199.zipCopier collé du log que tu post dans ton prochain message accompagnés des commentaires concernant la reussite ou echecdes autres logiciels

beb · Answer

je viens de refaire une verif avec avast, il ne trouve plus trojan, mais j'ai toujours le meme ecran ecrit en jaune sur fond noir
WARNING !
you are in danger.....
....secure yourself remove all spyware from your pc

tout ca avec un lien internet pour aller telecharger des antivirus (payants)

j'ai dej aessaye avec ad aware et spybot mais rien , je vais recommence pour confirmer

Teddy-Bear · Answer

Re,

Tant mieux si Avast ne te trouve plus rien ...c'est qu'il a fait son boulot (Remarque: Avast resignale les virus si il sont en Zone de quarentaine....et bien souvent il les trouve dans les fichier de restauration systeme)

beb · Answer

mais j'ai toujours cette page en ecran, je fais quoi alors ?j'ai refait un tour de scan avec ad aware puis avec spybot, toujours rien je viens de tel le dernier CW SHREDDER je te tiens au courant

moe · Answer

Salut beb, teddy

Pour virer l'espèce de fond d'écran parasite sur fond noir:

clic droit sur le bureau >propriétés >onglet bureau
clic sur: personnalisation du bureau
onglet web
dans les choix pages web, selectionne et supprime les pages que tu ne connais pas.
valide ok

a+

beb · Answer

hourra !!
j'ai plus cet ecran noir à la con, par contre j'ai toujours un petit icone (le signe attention) qui s'ouvre toutes les 5 mn environ et qui dit "warning your computer is at risk spyware detected on pc...click to choose a recommanded spyware protection software"

et bien sur quand je click ca m'affiche la meme page que le grand ecran m'affichait, vou spensez que les 2 trucs sont lies ?

moe · Answer

salut

la manip permet de virer la page non désiré mais pas celui qui l'installe, suis les conseils de teddy et passe tous les logiciels qu'il ta recommandé en respectant la marche a suivre qu'il t'a indiqué.

a+

beb · Answer

j'ai bien fait toute la manip, et re voila de p.... d' ecran noir !les antivirus trouvent rien, et moi j'y comprends rien !

Teddy-Bear · Answer

Re,Reste Hijackthis ....post le log

beb · Answer

voila le logalors j'y comprends encore moinsLogfile of HijackThis v1.99.1Scan saved at 20:48:05, on 23/02/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZONELABS\vsmon.exeC:\WINDOWS\wanmpsvc.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\CyberLink\PowerDVD\PDVDServ.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\WINDOWS\CTHELPER.EXEC:\Program Files\Skkmz\Letytwt.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\AOL 8.0\waol.exeC:\Program Files\AOL 8.0\shellmon.exeC:\Documents and Settings\beb\Bureau\VIRUS -SPY\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://82.179.166.192/search.php?v=6&aff=789377R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://82.179.166.192/index.php?v=6&aff=789377R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://82.179.166.192/index.php?v=6&aff=789377R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)O1 - Hosts file is located at: C:\WINDOWS
sdb\hostsO1 - Hosts: 82.179.166.192 new-search.netO1 - Hosts: 82.179.166.190 x-google.netO2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dllO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckRegO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [CTHelper] CTHELPER.EXEO4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXEO4 - HKLM\..\Run: [FDW78ÏÔ@ÔÁß]§ú"ü‰üžC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\qhnmcfx.exeO4 - HKLM\..\Run: [¢‰¸K0¨4W}ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\qhnmcfx.exeO4 - HKLM\..\Run: [Ovulg] C:\Program Files\Skkmz\Letytwt.exeO4 - HKLM\..\Run: [¢‰¸K0¨4W}ïÁzîžigÝC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\qhnmcfx.exeO4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁß]§ú"ü‰üžiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\qhnmcfx.exeO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exeO4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exeO4 - Startup: agenda_alerte.lnk = C:\Program Files\Agenda Samcomphp\agenda_alerte.exeO4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTMLO8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htmO8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htmO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exeO9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exeO12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{71760FDB-5DE7-48AA-B5DD-C44443150EF8}: NameServer = 205.188.146.145O17 - HKLM\System\CS1\Services\Tcpip\..\{71760FDB-5DE7-48AA-B5DD-C44443150EF8}: NameServer = 205.188.146.145O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exeO23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Teddy-Bear · Answer

Re,En mode sans echec fixe les lignes suivantes dans hijackthisC:\Program Files\Skkmz\Letytwt.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://82.179.166.192/search.php?v=6&aff=789377R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)O1 - Hosts file is located at: C:\WINDOWS
sdb\hostsO1 - Hosts: 82.179.166.192 new-search.netO1 - Hosts: 82.179.166.190 x-google.netO2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)O4 - HKLM\..\Run: [FDW78ÏÔ@ÔÁß]§ú"ü‰üžC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\qhnmcfx.exe}ïÁzî[8C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\qhnmcfx.exeO4 - HKLM\..\Run: [Ovulg] C:\Program Files\Skkmz\Letytwt.exeO4 - HKLM\..\Run: [¢‰¸K0¨4W}ïÁzîžigÝC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\qhnmcfx.exeO4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁß]§ú"ü‰üžiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\qhnmcfx.exeO8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTMLO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)ellimine manuellement les exe en gras--Rien ne sert de courir les emmerdements viendront bien assez vite

beb · Answer

comment je fixe ?le mode sans echec se demarre bien en pressant f8 au demarrage ?merci

Teddy-Bear · Answer

Re,

oui tapote F5,F8 !!!

Tu relances Hijackthis et tu coches les case des lignes que l'on veut faire disparaitre...ensuite tu click sur fix,tu redemarres en mode normal,si probleme....re scan Hijack et repost le log

beb · Answer

bon
j'ai redemarre avec f5 f8
lance hijackthis
fix les lignes (la 1ere et 2 ligne n'apparaissaient pas)
j'ai coche les lignes, mais pas moyens de supprimer manuellement les .exe en gras,
donc j'ai re ouvert normal, refais hijackthis, et transmet le nouveau log

Logfile of HijackThis v1.99.1
Scan saved at 21:36:47, on 23/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\CTHELPER.EXE
C:\Program Files\Skkmz\Letytwt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Creative Professional\E-MU PatchMix

DSP\EmuPatchMixDSP.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\beb\Bureau\VIRUS -SPY\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://82.179.166.192/index.php?v=6&aff=789377
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://82.179.166.192/index.php?v=6&aff=789377
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet

Settings,ProxyOverride = *new-search.net*;*x-google.net*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName

= Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

- C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} -

C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -

C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI

Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program

Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program

Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck]

C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [RealTray] C:\Program

Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [¢‰¸K0¨4W
}ïÁzî[8C:\Program

Files\ISTsvc\istsvc.exe] C:\WINDOWS\qhnmcfx.exe
O4 - HKLM\..\Run: [Ovulg] C:\Program Files\Skkmz\Letytwt.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone

Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service]

C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"

/background
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service]

C:\WINDOWS\System32\spoolsrv32.exe
O4 - Startup: agenda_alerte.lnk = C:\Program Files\Agenda

Samcomphp\agenda_alerte.exe
O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL

8.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft

Office\Office\OSA9.EXE
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program

Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet -

C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -

C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet -

{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -

C:\PROGRA~1\FLASHGET\flashget.exe
O12 - Plugin for .spop: C:\Program Files\Internet

Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} -

ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.ex

e
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner

- C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner -

C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -

C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program

Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program

Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. -

C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) -

America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

merci pour ton aide...et ta patience

Teddy-Bear · Answer

Re,

En premier lieu:

afficher les dossiers cachés et protégés du système

DESACTIVER ta restauration systeme : clique droit sur poste de travail/onglet restauration systeme/cocher " desactiver la rest.systeme".

redémarrer en mode sans échec

Regarde si les exe suivant sont dans le gestionnaire de tache:
Si oui.....stop les

Letytwt.exe
qhnmcfx.exe
spoolsrv32.exe

Fixe les lignes suivantes dans hijack

C:\Program Files\Skkmz\Letytwt.exe
O4 - HKLM\..\Run: [¢‰¸K0¨4W
Files\ISTsvc\istsvc.exe] C:\WINDOWS\qhnmcfx.exe
O4 - HKLM\..\Run: [Ovulg] C:\Program Files\Skkmz\Letytwt.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service]
C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool
C:\WINDOWS\System32\spoolsrv32.exe

Ellimine manuellement les exec suivant :

Letytwt.exe (dans C:\Program Files\Skkmz
qhnmcfx.exe(dansC:\WINDOWS\)
spoolsrv32.exe (dans c:\windows\System32)

revenir en mode normal
reactiver la rest.systeme

beb · Answer

comment affiches tu les fichiers caches et proteges ?

Teddy-Bear · Answer

Bonjour,....en ce matin neigeux !!!"Demarrer""Poste de travail""outil""options des dossiers""affichage""Afficher les fichiers et dossiers caches"

beb · Answer

salut
pas de neige chez moi, par contre, -8 !

bien essaye le nouveau processus
Letytwt.exe enleve ds le gestionnaire des taches
qhnmcfx.exe pas trouve
spoolsrv32.exe pas trouve

dans hijack
C:\Program Files\Skkmz\Letytwt.exe pas trouve
fixé toutes les autres

j'ai elimine manuellement ensuite letytwt.exe
pas trouve qhnmcfx.exe
trouve spoolsrv32.exe mais ne peut pas le supprimer (acces refuse verifie que le disk n'est pas plein ou protege en ecriture)

j'ai red marrer en normal, reactiver la rest systeme
mai toujours pareil....

Teddy-Bear · Answer

Re,Tu es dans quelle region ?Refait nous un log hijack

beb · Answer

region lyonnaise et toi  ?nouveau logLogfile of HijackThis v1.99.1Scan saved at 11:07:50, on 24/02/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZONELABS\vsmon.exeC:\WINDOWS\wanmpsvc.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\CyberLink\PowerDVD\PDVDServ.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\WINDOWS\CTHELPER.EXEC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\AOL 8.0\waol.exeC:\Program Files\AOL 8.0\shellmon.exeC:\Documents and Settings\beb\Bureau\VIRUS -SPY\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://82.179.166.192/index.php?v=6&aff=789377R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://82.179.166.192/index.php?v=6&aff=789377R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dllO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckRegO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [CTHelper] CTHELPER.EXEO4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXEO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exeO4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exeO4 - Startup: agenda_alerte.lnk = C:\Program Files\Agenda Samcomphp\agenda_alerte.exeO4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htmO8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htmO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exeO9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exeO12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{71760FDB-5DE7-48AA-B5DD-C44443150EF8}: NameServer = 205.188.146.145O17 - HKLM\System\CS1\Services\Tcpip\..\{71760FDB-5DE7-48AA-B5DD-C44443150EF8}: NameServer = 205.188.146.145O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exeO23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

beb · Answer

en fait je viens de refaire un coup d'avast qui ne trouve plus de virus, pas contre j'arrive pas a me debarrasser de  cet ecran , si tu je peux te mailer une copie d'ecran, ca te parlera peut etre mieux

Teddy-Bear · Answer

Re,Je suis de Strasbourg .....enfin ... pas loinSur tes log precedent il manquait ta config systemOR je m'apercoit que ton windaube n'est pas a jour......Met le au niveau sp2Autre chose:Est ce bien utile pour toi:C:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exe  	Si NON ejecte le (j'ai lu que cela pouvait creer des pbs au demarrageSinon ton log devient de + en + proprePour spoolsrv32 il se peut que se soit :AgobotEssaie la methode suivante  qui apparement a fait ses preuves:1 Redémarre en mode diagnostic (démarrer->exécuter->msconfig->"démarrage en mode diagnostic).2 redémarrer.3 Lances Regedit (démarrer->exécuter->regedit)4 Sauvegarde ta base de registre (fichier->exporter->étendue de l'exportation "tout")5 il faut savoir maintenant où se cache cette cochonnerie d'Agobot, il se copie dans le répertoire system de windows sous le nom de "spoolsrv32.exe".retires la clé suivante :MS Security Hotfix"="spoolsrv32.exeQui se trouve :HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesEnsuite va dans le répertoire system de windows et supprime cette cochonnerie de spoolsrv32.exe.

Teddy-Bear · Answer

Re,Bon ...tout va bien ?Quel type d'ecran ?

beb · Answer

pas encore essaye, je vais devoir partir au job, je vais essayer ca ce soir, emu est tres important, c'est ma carte son, je fais un peu de mao

beb · Answer

un ecran noir à la con, avec ecrit dessus warnng, your are in danger !! etj'ai toujours un petit icone (le signe attention) qui s'ouvre toutes les 5 mn environ et qui dit "warning your computer is at risk spyware detected on pc...click to choose a recommanded spyware protection software" et bien sur quand je click ca m'affiche la meme page que le grand ecran m'affichait, vou spensez que les 2 trucs sont lies ?si tu vexu je te fais une copie d'ecran et je te le mailje rentre a peine du boulot, j'essaie un nouveau log et je te tiens au courant

moe · Answer

salut bebReposte un log hijack, pour voir l'évolutiona+

beb · Answer

helloje viens de faire la dernier proc, march pô...j'ai trouve ici spoolsrv32.exeHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices mais je n'ai pas pu le supprimer dans windows, acces refuse....voila le lnouveau logLogfile of HijackThis v1.99.1Scan saved at 21:03:03, on 24/02/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZONELABS\vsmon.exeC:\WINDOWS\wanmpsvc.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\CyberLink\PowerDVD\PDVDServ.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\CTHELPER.EXEC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exeC:\Documents and Settings\beb\Bureau\VIRUS -SPY\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://82.179.166.192/index.php?v=6&aff=789377R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://82.179.166.192/index.php?v=6&aff=789377R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dllO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckRegO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXEO4 - HKLM\..\Run: [CTHelper] CTHELPER.EXEO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exeO4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exeO4 - Startup: agenda_alerte.lnk = C:\Program Files\Agenda Samcomphp\agenda_alerte.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exeO8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htmO8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htmO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exeO9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exeO12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exeO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exeO23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

moe · Answer

salut beb- Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC(apres l'ecran du bios)- Afficher les dossiers cachés: panneau de configuration > options des dossiers > onglet affichage cocher  " afficher les fichiers et dossiers cachés "décocher  " masquer les extentions des fichiers dont le type est connu Ensuite ouvre le gestionnaire des taches (CTRL+ALT+SUPPR)et termine ces processus s'il est présent(clic droit sur le processus puis clic sur terminer):spoolsrv32.exe Lance hijackthis et Fixe:cocher au début de chaques lignes valider avec fix checked:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://82.179.166.192/index.php?v=6&aff=789377 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://82.179.166.192/index.php?v=6&aff=789377 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net* O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe Puis recherche et supprime si présent:C:\WINDOWS\System32\spoolsrv32.exeet fais un nettoyage du disque:accessoires > outils système > nettoyage du disque cocher:     fichiers et programmes téléchargés     fichiers internet temporaires    corbeille      fichier temporaires  valider ok redemarre et reposte un log hijackthis pour voir l'évolution

beb · Answer

me revoila !bonjour à tous ! ca ne marche toujours pas !pas possible de supprimer cette ligneR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net* C:\WINDOWS\System32\spoolsrv32.exe trouver mais impossible à supp : acces refuse, verifiez que le disque n'est pas utilise actuellementvoila le new log, merci à vousLogfile of HijackThis v1.99.1Scan saved at 16:27:25, on 26/02/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZONELABS\vsmon.exeC:\WINDOWS\wanmpsvc.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\CyberLink\PowerDVD\PDVDServ.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\CTHELPER.EXEC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exeC:\Program Files\AOL 8.0\waol.exeC:\Program Files\AOL 8.0\shellmon.exeC:\WINDOWS\system32\wuauclt.exeC:\Documents and Settings\beb\Bureau\VIRUS -SPY\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dllO3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dllO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckRegO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXEO4 - HKLM\..\Run: [CTHelper] CTHELPER.EXEO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exeO4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exeO4 - Startup: agenda_alerte.lnk = C:\Program Files\Agenda Samcomphp\agenda_alerte.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exeO8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htmO8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htmO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exeO9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO17 - HKLM\System\CCS\Services\Tcpip\..\{71760FDB-5DE7-48AA-B5DD-C44443150EF8}: NameServer = 205.188.146.145O17 - HKLM\System\CS1\Services\Tcpip\..\{71760FDB-5DE7-48AA-B5DD-C44443150EF8}: NameServer = 205.188.146.145O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exeO23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

moe · Answer

salut bebon va essayer autre chose:lance hijackthis et fixe:O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe Dans le menu config de hijackthis (en bas à droite), clic sur misc tools puis sur delete a file on reboot.Dans la fenetre qui s'ouvre tu deploie jusqu'a C:\WINDOWS\System32\ et tu selectionne spoolsrv32.exeValide et accepte le redemarrage.Vérifie si le fichier a bien été effacé et reposte un log.Sache aussi que Flashget est considéré comme spyware ici:http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453077947A toi de voir si tu gardes ou pas.

beb · Answer

salut Moebien fait la manip, a priori, srv32 n'est plus la, mais mon ecran noir y est encore !!voila le new logj'ai poste un new mess appele WARNING, YOU ARE IN DANGER .... ou j'explique mon prob d'ecran noir... j'ai refait un coup d'antivirus je n'ai rien, tout a l'air normal, mais j'arrive pas a me debarrasser de cet ecranLogfile of HijackThis v1.99.1Scan saved at 20:55:53, on 26/02/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\System32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZONELABS\vsmon.exeC:\WINDOWS\wanmpsvc.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\CyberLink\PowerDVD\PDVDServ.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\CTHELPER.EXEC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exeC:\WINDOWS\system32\wuauclt.exeC:\Program Files\AOL 8.0\waol.exeC:\Program Files\AOL 8.0\shellmon.exeC:\WINDOWS\system32\wuauclt.exeC:\Documents and Settings\beb\Bureau\VIRUS -SPY\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckRegO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXEO4 - HKLM\..\Run: [CTHelper] CTHELPER.EXEO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Startup: agenda_alerte.lnk = C:\Program Files\Agenda Samcomphp\agenda_alerte.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exeO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO17 - HKLM\System\CCS\Services\Tcpip\..\{71760FDB-5DE7-48AA-B5DD-C44443150EF8}: NameServer = 205.188.146.145O17 - HKLM\System\CS1\Services\Tcpip\..\{71760FDB-5DE7-48AA-B5DD-C44443150EF8}: NameServer = 205.188.146.145O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exeO23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

moe · Answer

salut bebEssaye:clic droit sur le bureau >propriétés >onglet bureau clic sur: personnalisation du bureau onglet web dans les choix pages web, selectionne et supprime les pages que tu ne connais pas. valide ok Ca devrait virer la page.Reste aussi une ligne a fixer:O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

moe · Answer

salut bebEssaye:clic droit sur le bureau >propriétés >onglet bureau clic sur: personnalisation du bureau onglet web dans les choix pages web, selectionne et supprime les pages que tu ne connais pas. valide ok Ca devrait virer la page.Reste aussi une ligne a fixer:O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

beb · Answer

salut moeen cliquant sur bureau.... effectivement l'ecran disparait, je vais redemarrer pour voir ce qui ce passe des lors, avant de fixer la derniere ligne, je demarre en mode sans echec ?merci

beb · Answer

pas d'ecran au redemarrage, il n'apparait pas non plus dans l'onglet web du bureau,comment je fais pour fixer la derniere ligne ?amicalementbeb

moe · Answer

salut bebJe vois que tu jongle entre 2 posts, et c'est difficile de s'y retrouver.Ne poste plus sur celui ci car dolly et bernie viennent de te donner la solution pour finaliser sur l'autre post.Quand à messenger, je suis entièrement d'accord avec dolly c'est une source d'emm..des à la longue..A toi de voira+

beb · Answer

hello a priori, plus de problemes, j'utilises spybot, ad aware et avast , qu'en penses tu ? ainsi que l'anti spyware d'aolmerci pour ton aide

TROJAN-GEN besoin d'aide à supprimer

39 réponses

Discussions similaires

Newsletters