DUCINS~1 + hijack

Résolu
laritt -  
 laritt -
bjr a tous,

depuis la mise en marche de mon ordi (hier matin) et de tps en temps, un écran noir de type MS DOS apparaît et disparaît ... Il s'appelle DUCINS~1.

Késako ? un virus ? un bug ?

merci de m'aider

voici les resultats de mon hijack :

Logfile of HijackThis v1.98.2
Scan saved at 13:26:53, on 27/02/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\CD-WRITER PLUS\HP SIMPLE TRAX\HPCRON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\GSICON.EXE
C:\WINDOWS\SYSTEM\DSLAGENT.EXE
C:\PROGRAM FILES\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAM FILES\PNY ATTACHé\SHWICON.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZAPRO.EXE
C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\CRAZY BROWSER\CRAZY BROWSER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\ESPION ET SPY\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AvconsoleEXE] C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize
O4 - HKLM\..\Run: [VsStatEXE] C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING
O4 - HKLM\..\Run: [HP Simple Trax] C:\Program Files\CD-Writer Plus\HP Simple Trax\hpcron.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] DSLAGENT.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ShowIcon_PNY_PNY Attaché] "C:\Program Files\PNY Attaché\shwicon.exe" -t"PNY\PNY Attaché"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: KAK.HTA
O4 - Startup: Acrobat Assistant.lnk
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
Configuration: PC sous win 98 avec adsl

18 réponses

  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    utilise ceci et ensuite redemarre et refait un hijack
    http://www.pchell.com/downloads/kakcleaner.exe
    0
    1. laritt
       
      merci balltrap.

      voici mon nx hijack :

      Logfile of HijackThis v1.98.2
      Scan saved at 14:24:11, on 27/02/05
      Platform: Windows 98 SE (Win9x 4.10.2222A)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\SYSTEM\KERNEL32.DLL
      C:\WINDOWS\SYSTEM\MSGSRV32.EXE
      C:\WINDOWS\SYSTEM\MPREXE.EXE
      C:\WINDOWS\SYSTEM\mmtask.tsk
      C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE
      C:\WINDOWS\SYSTEM\MSTASK.EXE
      C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
      C:\WINDOWS\EXPLORER.EXE
      C:\WINDOWS\PTSNOOP.EXE
      C:\WINDOWS\SYSTEM\RNAAPP.EXE
      C:\WINDOWS\TASKMON.EXE
      C:\WINDOWS\SYSTEM\SYSTRAY.EXE
      C:\WINDOWS\SYSTEM\TAPISRV.EXE
      C:\WINDOWS\SYSTEM\STIMON.EXE
      C:\PROGRAM FILES\CD-WRITER PLUS\HP SIMPLE TRAX\HPCRON.EXE
      C:\WINDOWS\LOADQM.EXE
      C:\WINDOWS\SYSTEM\GSICON.EXE
      C:\WINDOWS\SYSTEM\DSLAGENT.EXE
      C:\PROGRAM FILES\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
      C:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXE
      C:\WINDOWS\STARTER.EXE
      C:\WINDOWS\RUNDLL32.EXE
      C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE
      C:\PROGRAM FILES\PNY ATTACHé\SHWICON.EXE
      C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZAPRO.EXE
      C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
      C:\WINDOWS\SYSTEM\WMIEXE.EXE
      C:\PROGRAM FILES\ESPION ET SPY\HIJACKTHIS.EXE

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
      O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
      O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
      O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
      O4 - HKLM\..\Run: [AvconsoleEXE] C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize
      O4 - HKLM\..\Run: [VsStatEXE] C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING
      O4 - HKLM\..\Run: [HP Simple Trax] C:\Program Files\CD-Writer Plus\HP Simple Trax\hpcron.exe
      O4 - HKLM\..\Run: [LoadQM] loadqm.exe
      O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
      O4 - HKLM\..\Run: [DSLAGENTEXE] DSLAGENT.EXE
      O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
      O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
      O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
      O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
      O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
      O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
      O4 - HKLM\..\Run: [ShowIcon_PNY_PNY Attaché] "C:\Program Files\PNY Attaché\shwicon.exe" -t"PNY\PNY Attaché"
      O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
      O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
      O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
      O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
      O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
      O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
      O4 - Startup: KAK.HTA
      O4 - Startup: Acrobat Assistant.lnk
      O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
      O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab

      qu'en penses tu ? que dois je faire ?

      merci

      @+
      0
  2. Utilisateur anonyme
     
    éhhhhh! il est rare celui-là

    O4 - Startup: KAK.HTA

    à l'attakak! ^_^

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  3. Teddy-Bear Messages postés 759 Statut Membre 91
     
    Hello balltrap

    http://www.adwareaway.com/

    As tu testé ce logiciel ? il semble pal mal
    0
    1. bernie61
       
      salut teddy et les autres
      je l'ai testé il y a 2 semaines il y avait un trojan startpage dedans
      j'espère pour toi que tu es bien couvert
      sinon oui semble efficace
      a+
      0
  4. Utilisateur anonyme
     
    0
    1. laritt
       
      merci dolly.dagger

      mais la traduction d'un manuel de desinfection d'anglais en français n'est pas mon fort, alors je préfère ne pas rentrer ds la base de registre de mon ordi sans être sûr et épaulé....

      merci de ta compréhension.

      Pensez vous que le KAK virus a un lien avec la fenetre DUCINS qui continue de s'ouvrir intempestivement ?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    je t'ai mis le site de SECUSER qui est franchèèès ^_^

    -
    0
    1. laritt
       
      oups,

      mais pour ta requête, le virus kak.worm.B a été détecté, et il est hors d'état de nuire, mais la fenêtre DUCINS apparaît tjs (le fond de cette fenetre est noir comme celle des commandes MS DOS)

      merci
      0
  7. Teddy-Bear Messages postés 759 Statut Membre 91
     
    Re

    Hors service....inactif......arreté...etc
    0
    1. laritt
       
      merci
      0
  8. Utilisateur anonyme
     
    ça continue ou pas le virus ? j'ai pas suivi.... ^_^

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re
    telecharge ce log si tu ne la pas et met le a jours
    adaware
    (ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm
    ----------------
    relance hijack coche ces lignes et clik sur fix

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O4 - Startup: KAK.HTA
    O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab

    -----------------
    recherche et suppr
    KAK.HTA
    --------------
    lance adaware scan et vire tous se qu il trouve
    ----------
    vide ta poubelle
    redemarre et refait un hijack
    0
  10. laritt
     
    Souci au démarrage avec KAK.HTA résolu, merci.

    par contre, la fenêtre qui s'ouvre intempestivement "DUCINS~1" est tjs présente .

    Est-ce que quelqu'un sait de quoi il s'agit ? est ce nocif ou inoffensif ? merci de m'aider car je commence à flipper.

    merci. A titre d'info, voici mon nx hijack :

    Logfile of HijackThis v1.98.2
    Scan saved at 18:58:28, on 27/02/05
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\PTSNOOP.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\PROGRAM FILES\CD-WRITER PLUS\HP SIMPLE TRAX\HPCRON.EXE
    C:\WINDOWS\LOADQM.EXE
    C:\WINDOWS\SYSTEM\GSICON.EXE
    C:\WINDOWS\SYSTEM\DSLAGENT.EXE
    C:\PROGRAM FILES\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
    C:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXE
    C:\WINDOWS\STARTER.EXE
    C:\WINDOWS\RUNDLL32.EXE
    C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE
    C:\PROGRAM FILES\PNY ATTACHé\SHWICON.EXE
    C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZAPRO.EXE
    C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAM FILES\ESPION ET SPY\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
    O4 - HKLM\..\Run: [AvconsoleEXE] C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize
    O4 - HKLM\..\Run: [VsStatEXE] C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING
    O4 - HKLM\..\Run: [HP Simple Trax] C:\Program Files\CD-Writer Plus\HP Simple Trax\hpcron.exe
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
    O4 - HKLM\..\Run: [DSLAGENTEXE] DSLAGENT.EXE
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
    O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
    O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [ShowIcon_PNY_PNY Attaché] "C:\Program Files\PNY Attaché\shwicon.exe" -t"PNY\PNY Attaché"
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
    O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
    O4 - Startup: Acrobat Assistant.lnk
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    bizzard
    Faite scan en ligne et coller le rapport ici sur le post
    utiliser l'antivirus en ligne suivant :
    http://www.ravantivirus.com/scan/
    Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

    Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
    A la fin de l'analyse, copier/coller le rapport ici.
    0
    1. laritt
       
      ball trap, voici le résultat du scan de RAV anti virus ::

      Scan started at 27/02/05 19:38:16

      Scanning memory...
      c:\WINDOWS\SYSTEM\Password-uninstall.exe->(UPXW) - Tool:PornDialer.IE -> Infected
      c:\WINDOWS\SYSTEM\Celebs-Nude-uninstall.exe->(UPXW) - Trojan:Win32/Porndial3 -> Infected
      c:\WINDOWS\TEMP\MT\PARISVOYEUR.EXE->(UPXW) - Tool:PornDialer.gen! -> Suspicious
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments envoyés.dbx->Message.4627: ("Mpls" [Re: ])->(part0002:)->(IFRAME0000) - HTML/IFrame_Exploit* -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments envoyés.dbx->Message.2845: ("Mpls" [bouffe troyen ! ])->(part0003:bouffetroyen.zip)->bouffe.dll - Backdoor:Win32/Bouffe -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments envoyés.dbx->Message.2845: ("Mpls" [bouffe troyen ! ])->(part0003:bouffetroyen.zip)->BouffeTroyen.exe - Backdoor:Win32/Bouffe -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments envoyés.dbx->Message.2787: ("Mpls" [Re: virus ?])->(part0002:)->(SCRIPT0000) - JS/Kak.gen* -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments envoyés.dbx->Message.2693: ("Mpls" [=?iso-8859-1?Q?Re:_Re:_ok_!_re=E7u_r=E9ponse_..mais_....?=])->(part0002:)->(IFRAME0000) - HTML/IFrame_Exploit* -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments envoyés.dbx->Message.1448: ("mpls" [Re: chez Mela !])->(part0002:)->(SCRIPT0000) - JS/Kak.gen* -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.1359: (gerardpiche [Darling])->(part0000:)->(IFRAME0000) - HTML/IFrame_Exploit* -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.1359: (gerardpiche [Darling])->(part0001:Atbol.scr) - Win32/Klez.H@mm -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.1279: (melinda chruscial [Fw: New stuff to check !!])->(part0001:rishtha.scr) - Win32/Yaha.F@mm -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.1277: (melinda chruscial [Fw: Funny Love for you !])->(part0001:checkfriends.scr) - Win32/Yaha.F@mm -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.1274: (melinda chruscial [Fw: gy501-manual_pdf])->(part0000:)->(IFRAME0000) - HTML/IFrame_Exploit* -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.1274: (melinda chruscial [Fw: gy501-manual_pdf])->(part0001:gy501-manual_pdf.jpg.pif) - Win32/Yaha.F@mm -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.1273: (melinda chruscial [Fw: gy501-manual_pdf])->(part0001:gy501-manual_pdf.mpg.pif) - Win32/Yaha.F@mm -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.1272: (melinda chruscial [Fw: Shake ur friends :-)])->(part0000:)->(IFRAME0000) - HTML/IFrame_Exploit* -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.1272: (melinda chruscial [Fw: Shake ur friends :-)])->(part0001:screensaver.scr) - Win32/Yaha.F@mm -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.1076: (33jours [CONFIDENTIEL])->(part0001:CONFIDENTIEL.mp3.pif) - Win32/Yaha.F@mm -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.1075: (admin [CONFIDENTIEL])->(part0001:CONFIDENTIEL.dat.scr) - Win32/Yaha.F@mm -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.1074: (admin [CONFIDENTIEL])->(part0001:CONFIDENTIEL.bmp ... - Win32/Yaha.F@mm -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.209: (good-life [Hi,sos!])->(part0000:)->(IFRAME0000) - HTML/IFrame_Exploit* -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.209: (good-life [Hi,sos!])->(part0001:webbss[1].exe) - Win32/Klez.H@mm -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.52: (aselieme [Message ])->(part0000:)->(IFRAME0000) - HTML/IFrame_Exploit* -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.52: (aselieme [Message ])->(part0001:cased[1].exe) - Win32/Klez.H@mm -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.30: (www.Tom073 [How are you])->(part0000:)->(IFRAME0000) - HTML/IFrame_Exploit* -> Infected
      c:\WINDOWS\Application Data\Identities\{FA8A5B80-9F92-11D4-AC30-87ECD927E571}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.30: (www.Tom073 [How are you])->(part0001:win .bat) - Win32/Klez.E@mm -> Infected
      c:\WINDOWS\Downloaded Program Files\ParisVoyeur.exe->(UPXW)->(EXEEmb)->(UPXW) - Tool:PornDialer.gen! -> Suspicious
      c:\WINDOWS\Downloaded Program Files\ParisVoyeur.exe->(EXEEmb)->(UPXW) - Tool:PornDialer.gen! -> Suspicious
      c:\WINDOWS\Downloaded Program Files\CONFLICT.1\ParisVoyeur.exe->(UPXW)->(EXEEmb)->(UPXW) - Tool:PornDialer.gen! -> Suspicious
      c:\WINDOWS\Downloaded Program Files\CONFLICT.1\ParisVoyeur.exe->(EXEEmb)->(UPXW) - Tool:PornDialer.gen! -> Suspicious
      c:\Program Files\Montorgueil\PARISVOYEUR\PARISVOYEUR.EXE->(UPXW) - Tool:PornDialer.gen! -> Suspicious

      Scanned
      ============================
      Objects: 19996
      Directories: 1501
      Archives: 847
      Size(Kb): 497609
      Infected files: 26

      Found
      ============================
      Viruses found: 8
      Suspicious files: 6
      Disinfected files: 0
      Mail files: 8095

      que sont les applications data/identities , svp ????

      merci à tous de m'aider
      0
    2. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332 > laritt
       
      re
      ceci se sont des element dans ta messageries vas dedans et vire tous les element envoyer et les element suppr
      et refait un scan ont y verrat plus clair
      0
    3. laritt > balltrap34 Messages postés 16241 Statut Contributeur sécurité
       
      les elements ds ma messagerie, c'est ceux qui sont envoyés et réceptionné par outlook express, non ?

      je te dde cela car l'ordi n'est pas le mien, donc les messages d'outlook ne sont pas les miens. Mais j'expliquerai la situation a qui de droit.

      merci

      @+
      0
    4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332 > laritt
       
      oui je confirme
      0
    5. laritt > balltrap34 Messages postés 16241 Statut Contributeur sécurité
       
      REMERCIEMENTS SINCERES à Balltrap

      je surfe depuis 1 heure et la fenêtre DUCINS n'apparait pas... En espérant que cela continue...

      Considérons que le problème est résolu

      Remerciements aussi a tous (dolly.dagger, teddy bear)
      0
  12. Utilisateur anonyme
     
    ça dépend...


    Process File
    : ptsnoop or ptsnoop.exe
    Process Name: PCTel Configuration Tool
    Description:
    ptsnoop.exe is a part of the PCTel configuration tool for their brand of PCI modems.
    http://www.liutilities.com/products/wintaskspro/processlibrary/ptsnoop/

    Please note that certain software packages for certain modems contain PTSNOOP.EXE files, but these are not trojans. If you are not sure if that file is a trojan or not, use F-Secure Anti-Virus to check it out.
    Ptsnoop is a simple backdoor program written in Visual Basic. Being activated it first looks for active RAS connections and exits immediately if none is found
    http://www.f-secure.com/v-descs/ptsnoop.shtml

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  13. Teddy-Bear Messages postés 759 Statut Membre 91
     
    Re,

    Voui apparement le mauvais serais :PTSnoop.exe
    0
  14. Utilisateur anonyme
     
    dans tous les cas ce virus c'est selon Secuser

    * patch antivirus
    * windows update IE+Outlook
    * patch virus VBScript

    et il neigeeeeeeee!

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  15. Teddy-Bear Messages postés 759 Statut Membre 91
     
    lol ICI aussi depuis cet apres midi
    0
  16. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut tous les deux
    pour ma part je ni toucherais pas
    a la rigeur une analyse du fichier
    0
  17. Do
     
    bonjour!!

    voila jé moi ossi cette fenétre ki souvre et norton trouve rien et le probleme c'est que je ne comprend rien à "hijak...." jé suivi votre convers, je vais testé l'antidote...

    merci de me dire a quoi tou ce vocabulaire info veut dire svp moi je m'y noit...

    merci d'avance
    0
    1. laritt
       
      salut,

      hijack n'a rien à voir avec l'extermination de la saloperie DULCINS.£


      Onm'avais conseillé cette démarche pour une autre merde. En ce qui concerne DULCINS, c'est simplement un bug de Norton, il faut que tu décoches ds norton update la mise à jour automatique, et la fenetre ne s'afficheras plus de manière intempestive...

      bonne continuation
      0