Galère vundo.h

Résolu
marzinp -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour,

impossible de virer vundo.h!!!
J'ai tout essayé! Le fichier infecté: c:\WINDOWS\Fonts\mssrv.dll
n'existe pas!!! Aucune des soutions trouvées sur le net ne fonctionne. Les clés de registre qu'il crée se régénèrent aussitôt supprimées.
Comme celle ci par exemple:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mssrv]
"Asynchronous"=dword:00000001
"DllName"="C:\\WINDOWS\\Fonts\\mssrv.dll"
"Impersonate"=dword:00000000
"Startup"="SysLogon"
"Logoff"="SysLogoff"

QUe faire???
Merci de votre aide!

82 réponses

Précédent
Réponse 21 / 82
jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
 
Ha si vx2... I2mfix??

suivre balltrap post 21
0
Réponse 22 / 82
jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
 
tu as essayé I2mfix que ball trap te propose d'utiliser??
0
Réponse 23 / 82
marzinp
 
SLt Balltrap34 et merci.

VOilà le log de' I2mfix...
0
Réponse 24 / 82
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
tu la oublier lol
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 82
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
oki
relance l2mfix et clik sur l option 2
remet moi le rapport et refait moi aussi un rapport hijack
0
marzinp Messages postés 20 Statut Membre
 
Balltrap34,

le rapport ne s'est pas fait tout seul au reboot? J'ai lancé second.bat à la main... Voici ce que ça donne, suivi du rapport Hijackthis...

Setting Directory
C:\Documents and Settings\HP_Propri‚taire\Mes documents\T‚l‚chargements\Antivirus\l2mfix
C:\Documents and Settings\HP_Propri‚taire\Mes documents\T‚l‚chargements\Antivirus\l2mfix
System Rebooted!

Running From:
C:\Documents and Settings\HP_Propri‚taire\Mes documents\T‚l‚chargements\Antivirus\l2mfix

killing explorer and rundll32.exe

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1340 'explorer.exe'
Killing PID 1340 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1532 'rundll32.exe'

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!

Zipping up files for submission:
adding: clear.reg (164 bytes security) (deflated 2%)
adding: echo.reg (164 bytes security) (deflated 15%)
adding: direct.txt (164 bytes security) (deflated 10%)
adding: lo2.txt (164 bytes security) (deflated 61%)
adding: lo21.txt (164 bytes security) (deflated 72%)
adding: readme.txt (164 bytes security) (deflated 49%)
adding: test.txt (164 bytes security) (stored 0%)
adding: test2.txt (164 bytes security) (stored 0%)
adding: test3.txt (164 bytes security) (stored 0%)
adding: test5.txt (164 bytes security) (stored 0%)
adding: backregs/shell.reg (164 bytes security) (deflated 73%)

Restoring Registry Permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Revoking access for predefined group "Administrators"
Inherited ACE can not be revoked here!
Inherited ACE can not be revoked here!


Registry permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE


Restoring Sedebugprivilege:

Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332


The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
@=""
"DLLName"="igfxsrvc.dll"
"Asynchronous"=dword:00000001
"Impersonate"=dword:00000001
"Unlock"="WinlogonUnlockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mssrv]
"Asynchronous"=dword:00000001
"DllName"="C:\\WINDOWS\\Fonts\\mssrv.dll"
"Impersonate"=dword:00000000
"Startup"="SysLogon"
"Logoff"="SysLogoff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


The following are the files found:
****************************************************************************

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************
****************************************************************************




Logfile of HijackThis v1.99.1
Scan saved at 20:36:04, on 05/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\InterVideo\Common\Bin\WinRemote.exe
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Trend Micro\Internet Security\pccguide.exe
C:\Program Files\Trend Micro\Internet Security\PCClient.exe
C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\HELPAN~1\Pavilion\XPHWWBF4\plugin\bin\pchbutton.exe
C:\Program Files\Eraser\eraser.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
C:\Program Files\UltraVNC\winvnc.exe
C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q404&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\Fonts\mssrv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [WINREMOTE] "C:\Program Files\InterVideo\Common\Bin\WinRemote.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\winvnc.exe" -servicehelper
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HELPAN~1\Pavilion\XPHWWBF4\plugin\bin\pchbutton.exe
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\eraser.exe -hide
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: mssrv - C:\WINDOWS\Fonts\mssrv.dll
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\winvnc.exe" -service (file missing)
0
Réponse 26 / 82
marzinp Messages postés 20 Statut Membre
 
Attends une minute, j'ai essayé d'utiliser l'option Delete on reboot de HijackThis puisque celle de KillBox ne fonctionnait pas... Comme c'est un PC distant, il faut que j'attende qu'il reboote et que le service Vnc redémarre...
0
Réponse 27 / 82
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore
adaware (1)
spyboot (2)
(ici) http://www.florensac-chasse-trap.com/ section virus
et aussi ceci
CleanUp312.exe (3)

----------------


demarre en mode sans echec
mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------
desactive ta restauration systeme
pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------

assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer
----------------------
vide tes fichiers temps et tempory internet file sur tous les utilisateur
utilise ceci pour le faire
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe


--------------------
relance hijack coche ces lignes et ensuite clik sur fix
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\Fonts\mssrv.dll
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: mssrv - C:\WINDOWS\Fonts\mssrv.dll


----------------------
recherche et suppr ceci
attention seulement les fichiers
C:\WINDOWS\Fonts\mssrv.dll
ALCXMNTR.EXE
C:\WINDOWS\SYSTEM32\igfxsrvc.dll



---------------
passe adaware et vire tous se qu il trouve
----------
passe spy boot et vire tous se qu il trouvent
-------------

tu vide ta poubelle et tu redemarre en mode normal et refait un hijack
et precise ou en sont tes soucis


--
0
Réponse 28 / 82
quick
 
Marzinp, tu peux nous tenir au courant si ca marche parce que j'ai la meme gaère que moi, et mes connaissances en informatique sont assez limitées
0
Réponse 29 / 82
marzinp Messages postés 20 Statut Membre
 
Balltrap,
j'ai fait tout ça. Comme avant, ni Adaware, ni Spybot ne trouve le moindre Spyware. Par contre, mssrv.dll est toujours là et résiste à tout...

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\Fonts\mssrv.dll

Seul progrès, les lignes
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: mssrv - C:\WINDOWS\Fonts\mssrv.dll
ont disparu.

PCCillin crie toujours à l'infection!!!
0
Réponse 30 / 82
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
bizzard l2mfix aurait du permettre sont eradication

relance le et clik option 2
ensuite relance hijack coche et fix la 02 en question redemarre et refait un hijack pour voir
0
Jms
 
Merci beaucoup à balltrap34 et autres contributeurs de ce forum pour m'avoir permis de virer un e...... de m.... de VUNDO H .

Une ex-victime
0
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332 > Jms
 
merci pour le merci
a++
0
Réponse 31 / 82
marzinp Messages postés 20 Statut Membre
 
Ca y est, ça a marché après un dernier redémarrage!
Bravo Balltrap34 et merci!
Peux tu m'expliquer rapidement comment tu as repéré vx2, puis les process coupables? Je suis prof d'info, mais pas du tout spécialisé dans la désinfection!!!
Merci d'avance!!!
0
Réponse 32 / 82
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
oki content pour toi
l2mfix option 2 a fait une grande partie du boulot
et pour les lignes a virer dans hijack c est l habitude et aussi google et autres

pour la vx2 dans hijack la ligne 020 et les dlls insuprimable
a++
0
Francis
 
Salut balltrap34,

Je suis enfin parvenu à me connecter. L'appel au secours de tout à l'heure je l'ai fait à partir du PC de mon frangin.
En fait, je demande à Antivir de détruire Vundo.B et très rapidement entre deux demandes, je me connecte.
Je suis obligé de pratiquer de la sorte pour toute ouverture de nouveau site.
Bien, dès que j'ai pu me connecter, je suis allé voir sur SECUSER si Vundo.B était connu. C'est le cas, ils conseillent de se débarrasser de Vundo.B en utilisant le lien Symantec suivant : http://www.majorgeeks.com/download4579.html
Super, l'outil détecte bien Vundo.B, à la fin, il me dit qu'il est détruit mais, grosse déception, Antivir me dit tout de suite après qu'il est encore là. Voilà ça recommence.

Est-ce que tu penses que le problème peut être le même et que ce qui a marché pour marzinp avec Vundo.H peut aussi marcher pour Vundo.B ?

Merci à toi.
PS : Je ne suis pas particulièrement familier des bases de registre & co.
0
Réponse 33 / 82
marzinp Messages postés 20 Statut Membre
 
A tous ceux qui galèrent avec vundo.h, je propose de lire les soluces de cette discussion, et d'envoyer des offrandes (du foie gras, de bonnes bouteilles, des photos de belles filles, etc...) à balltrap34, sans qui on serait toujours dans la m..... !
0
Réponse 34 / 82
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
merci
pour les photos ma femme elle gueule lol
0
Réponse 35 / 82
Francis
 
Salut à tous,

Je suis enfin parvenu à me connecter. L'appel au secours de tout à l'heure je l'ai fait à partir du PC de mon frangin.
En fait, je demande à Antivir de détruire Vundo.B et très rapidement entre deux demandes, je me connecte.
Je suis obligé de pratiquer de la sorte pour toute ouverture de nouveau site.
Bien, dès que j'ai pu me connecter, je suis allé voir sur SECUSER si Vundo.B était connu. C'est le cas, ils conseillent de se débarrasser de Vundo.B en utilisant le lien Symantec suivant : http://www.majorgeeks.com/download4579.html
Super, l'outil détecte bien Vundo.B, à la fin, il me dit qu'il est détruit mais, grosse déception, Antivir me dit tout de suite après qu'il est encore là. Voilà ça recommence.

Est-ce que ce qui a marché pour marzinp avec Vundo.H peut aussi marcher pour Vundo.B ?

Merci à vous.
0
Réponse 36 / 82
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
pour vundo b
il faut demarrer en mode sans echec imperatif
il faut desactiver ta restauration passer deux fois le fix
0
Francis
 
Balltrap34,

Si j'ai bien compris, je dois suivre exactement la démarche que tu avais détaillé pour marzinp.

Je vais donc télécharger les outils que tu préconises. A quel moment dois-je passer 2 fois le fix ?

merci encore.
0
Réponse 37 / 82
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
vundo b na rien a voir avec le h
pour vundo b
il faut demarrer en mode sans echec imperatif
il faut desactiver ta restauration passer deux fois le fix
donc apres demarrage sans echec et desactivation de la restauration
0
Francis
 
Désolé Balltrap, je ne peux pas te répondre aussi vite que je le souhaiterais, je suis obligé à chaque fois de demander à Antivir de mettre Vundo en quarantaine pour ouvrir un site ou autre. Je suppose que ce que tu appelles le Fix se trouve dans les outils que j'essaye de télécharger tout aussi péniblement.
0
Réponse 38 / 82
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
tient le fix est la
http://securityresponse.symantec.com/avcenter/FxVundoB.exe
0
Francis
 
http://securityresponse.symantec.com/avcenter/FxVundoB.exe Balltrap,
Je finis de télécharger Spybot et Ad aware puis CleanUp que j'éxécuterai, ensuite je suivrai tes conseils suivants:


"demarre en mode sans echec
mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------
desactive ta restauration systeme
pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------

assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer "

Ensuite j'appliquerai le fix que tu me conseilles.

Salut et merci.
0
Réponse 39 / 82
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
en gros c est cela
0
super_mario
 
pour ma part, en essayant se suivre rigoureusement la feuille dindication ke jai imprimer, je sui bloké a la supression du fichier infecte...on me dit ke le fichier est utilisé par autre personne, ou autre prog......
0
Francis
 
Balltrap,

T'es super ! Cela a marché comme tu as dit.

Tu as sauvé 2 mecs aujourd'hui et pour moi cela représente 10 ans de boulot !... Je n'ai pas fait de sauvegarde, c'est con je sais, j'ai pourtant un 2ème DD que je destinais à cela au départ mais le transfert et les m à j sont tellement longs !

Merci encore et bonne nuit si tu n'es pas encore couché.
0
Réponse 40 / 82
marzinp Messages postés 20 Statut Membre
 
Slt Super mario,

tu en es où exactement? Quel msg?
0

Discussions similaires

Stagiaire en galère
stagiaire en galère -
Stagiaire en galère -

3 réponses
laposte.net galère et insécurité
jason.help -
Numa -

31 réponses
Galère avec boitier IPTV
GF95 -
GF95 -

2 réponses
Machine à écrire : galère
maka -
Anaelle1209 -

51 réponses
Showroomprivé début de la galère
mayabeille77 -
showroomprive_serviceclients -

15 réponses