Trojan horse impossible à iradiquer

cyle -  
 henryculture@yahoo.co.uk -
Bonsoir! cela fait déjà depuis 3 jours que j'essaye déséspérament d'éliminer les problèmes suivants:
- TR/Dldr.Apropo.R.2 (ceci est un trojan horse...)
- TR/Dldr.Wintool.F (ceci est un trojan horse...)
- DIAL/301187 (aucun info)
- C:\Windows\System32\n?pdb.exe (archive...impossible à effacer...)
J'ai Antivir xp et ad-aware... j'en peux plus de me renseigner sans trouver de résolution!
Merci d'avance pour votre aide!

29 réponses

  • 1
  • 2
Résumé de la discussion

Plusieurs menaces identifiées sur un poste Windows XP, dont TR/Dldr.Apropo.R.2, TR/Dldr.Wintool.F, DIAL/301187 et n?pdb.exe, persistantes malgré l’utilisation d’Antivir XP et d’Ad-Aware et d’autres modules de sécurité, sans succès jusqu’ici. Des éléments relevés incluent une analyse du registre évoquant IBIS Toolbar et un objet lié à software\wintools, ainsi que des cookies de suivi détectés et des messages d’accès refusé sur des fichiers système. Plusieurs conseils préconisent un nettoyage plus poussé avec des outils gratuits complémentaires comme HijackThis et la suppression éventuelle des éléments WinTools, tout en surveillant les avertissements d’accès fichier et les signatures détectées.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    salut,
    demarer<poste de travail<c<program files<av personal<logfiles<NTGRDRT<(rapport journalier) et copie colle ou il y a les alertes, si tu les a eu aujourd hui met le rapport d aujourd hui

    a+
    0
  2. cyle
     
    impossible a trouver... et redemarer l'analyse va prendre du temps... et j'ai aussi spybot. je vais redemarer ad-aware et afficher le rapport le plus vite possible. Merci qu'en même! ;-)
    0
  3. cyle
     
    Voilà ce que me dit a-squared:

    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@accelerator-media[2].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@adopt.hbmediapro[2].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@ads.mediacapital[1].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@adtech[2].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@bluestreak[1].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@casalemedia[2].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@com[2].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@cs.sexcounter[2].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@mcmads.mediacapital[2].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@media.publicites[1].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@oinadserve[1].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@revenue[1].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@tribalfusion[1].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@uol.com[1].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@weborama[1].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@windowsmedia[2].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@www.commentcamarche[1].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@www.edicom[1].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@www.smartadserver[1].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@yourmedia[1].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@z1.adserver[1].txt Trace.TrackingCookie
    C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@zedo[2].txt Trace.TrackingCookie
    C:\Program Files\AVPersonal\INFECTED\CXTPLS_LOADER.EXE.VIR Trojan-Downloader.Win32.Apropo.ab
    C:\Program Files\Fichiers communs\WinTools\WSup.exe AdWare.Wintol.aa
    C:\Program Files\Fichiers communs\WinTools\WToolsA.exe AdWare.Wintol.aa
    C:\Program Files\Fichiers communs\WinTools\WToolsB.dll AdWare.Wintol.y
    0
  4. Utilisateur anonyme
     
    tu as tout supprimer avec a²?

    pour verifier rend toi ds la quarantaine d antivir
    C:\Program Files\AVPersonal\INFECTED\CXTPLS_LOADER.EXE.VIR
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. cyle
     
    bon, pour l'instant, antivir m'a déjà dit:
    C:\Windows\System32\n?pdb.exe Could not be copied to the temporary directory
    c'est quoi ca????
    0
  7. cyle
     
    pour a2, j'ai tout supprimé. le scan de antivir donne tjs ce problème... : TR/Dldr.Wintool.F

    ok, je vais faire ca! et je poste, :-))
    0
  8. cyle
     
    ca me demande d'effacer tout mes temporary internet files... je dois vraiement le faire? car il y a des desktop qu'il ne faut pas supprimer?
    0
  9. Utilisateur anonyme
     
    qu as tu fait pr qu il te demande ca?
    0
  10. cyle
     
    c'est l'aide sur zebulon qui le demande avant de lancer hijackthis. et du coup, je retrouve plus hijackthis. je me damande si j'ai réussi a le deziper car winzip à plus de 40 jours
    0
  11. Utilisateur anonyme
     
    clik sur recherche:hijack this
    lancez le puis:
    clic sur "do a system scan and save logfile"
    faire un copier coller du log entier sur le forum
    0
  12. cyle
     
    Logfile of HijackThis v1.99.1
    Scan saved at 01:00:36, on 27.05.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\system32\cisvc.exe
    C:\WINDOWS\System32\gearsec.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\snmp.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
    C:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
    C:\Program Files\HP\HP Share-to-Web\hpgs2wnd.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\Program Files\HP\HP Share-to-Web\hpgs2wnf.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe
    C:\Program Files\Lexmark X5100 Series\lxbabmon.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\lk1hannj.exe
    C:\PROGRA~1\FICHIE~1\WinTools\WToolsA.exe
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\Program Files\AVPersonal\AVSched32.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\n?pdb.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Fichiers communs\WinTools\WSup.exe
    C:\WINDOWS\system32\cidaemon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\Explorer.EXE
    c:\progra~1\intern~1\iexplore.exe
    C:\hijack this\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wbpdmcbokymwleqqsyfwyir.us/KDOk7/ZB3uJmBiSxwGPUbRfrvNIBYtZs2myPAY3uagcxPNaP8S7SnNJ5ro0QsiSG.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ahmpqsmntgtrdebtnu.com/KDOk7/ZB3uIqrZnBIcPbolOrmQsYodhcuJ8704_1Zus.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {18918EB5-48B6-06D3-78C4-CEFFE0391398} - C:\DOCUME~1\CINDYL~1\APPLIC~1\OnceMode\Flaw Dog.exe
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\FICHIE~1\WinTools\WToolsB.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\HP\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe"
    O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [LongAceDeleteCity] C:\Documents and Settings\All Users\Application Data\Seek draw long ace\flag more.exe
    O4 - HKLM\..\Run: [lk1hannj] C:\WINDOWS\system32\lk1hannj.exe
    O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\FICHIE~1\WinTools\WToolsA.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Wjo] C:\WINDOWS\system32\n?pdb.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    0
  13. cyle
     
    j'ai l'impression d'avoir 3000 antivirus qui servent a rien... BOUOU!
    et ce que me dit antivir:

    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit5.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit6.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit7.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit8.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit9.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    PeopleOnPage.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    PeopleOnPage1.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    C:\Documents and Settings\Cindy Leone\Local Settings\Temporary Internet Files\Content.IE5\TX5UBRLI
    WinTS[1].cab
    ArchiveType: CAB (Microsoft)
    --> WToolsS.exe
    [DETECTION] Is the Trojan horse TR/Dldr.Wintool.F
    C:\Program Files\WinRAR
    rarnew.dat
    ArchiveType: RAR
    NOTE! The archive is created by multiple volumes
    Error! Could not change directory: System Volume Information
    C:\WINDOWS\AU_Temp\AU_Down\pattern
    vsapi.zip
    ArchiveType: ZIP
    NOTE! No files to extract.
    C:\WINDOWS\SoftwareDistribution\EventCache
    {3E14FBC0-A87A-47A1-B087-3103EC475C81}.bin
    Access denied! Error during file opening!
    Error code: 0x000D
    WARNING! Access error/file locked!
    {F583917B-F6C5-4157-B5BD-9C920AFC0B79}.bin
    Access denied! Error during file opening!
    Error code: 0x000D
    WARNING! Access error/file locked!
    C:\WINDOWS\system32
    n?pdb.exe
    Access denied! Error during file opening!
    Error code: 0x0016
    WARNING! Access error/file locked!
    C:\WINDOWS\system32\config
    default
    Access denied! Error during file opening!
    Error code: 0x000D
    WARNING! Access error/file locked!
    SAM
    Access denied! Error during file opening!
    Error code: 0x000D
    WARNING! Access error/file locked!
    SECURITY
    Access denied! Error during file opening!
    Error code: 0x000D
    WARNING! Access error/file locked!
    software
    Access denied! Error during file opening!
    Error code: 0x000D
    WARNING! Access error/file locked!
    system
    Access denied! Error during file opening!
    Error code: 0x000D
    WARNING! Access error/file locked!

    End of scan: vendredi, 27. mai 2005 00:58
    Time taken: 52:35 min

    3941 directories were scanned
    60687 files were scanned
    10 warning messages were issued
    0 files were deleted
    0 files were repaired
    1 detection
    0
  14. Utilisateur anonyme
     
    Bonjour,

    Méthode a suivre dans l'ordre...
    ---------------------------------------------------------------------------------------
    ¤Télécharge ces 3 logiciels mais que tu n utilises pas tout de suite:

    1/Ad-Aware :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html

    Le patch en Français pour Ad-Aware :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html

    2/Spybot :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html

    3/Clean Up 312:
    http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
    -----------------------------------------
    ¤Démarre en mode sans echec :
    Pour cela, tu tapote la touche F8 des le debut de l allumage du pc sans t arreter
    Une fenetre va souvrir tu te deplaces avec les fleches du clavier sur demarrer en mode sans echec puis tape entrée.
    Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
    (Si F8 ne marche pas utilise la touche F5)
    ----------------------------------------------------------
    ¤Désactive ta restauration systeme:
    Clic droit sur poste de travail puis,
    propriété, tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique
    ------------------------------------
    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer !
    ---------------------------------
    ¤Vide tes fichiers temps et tempory internet file:
    utilise ceci pour le faire (tu as telecharger avant)
    3/http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
    --------------------------------------------
    ¤Relance Hijack This, coche les cases devant ces lignes et ensuite clik sur fix:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wbpdmcbokymwleqqsyfwyir.us/KDOk7/ZB3uJmBiSxwGPUbRfrvNIBYtZs2myPAY3uag cxPNaP8S7SnNJ5ro0QsiSG.htm

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ahmpqsmntgtrdebtnu.com/KDOk7/ZB3uIqrZnBIcPbolOrmQsYodhcuJ8704_1Zus.ht ml

    O2 - BHO: (no name) - {18918EB5-48B6-06D3-78C4-CEFFE0391398} - C:\DOCUME~1\CINDYL~1\APPLIC~1\OnceMode\Flaw Dog.exe

    O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\FICHIE~1\WinTools\WToolsB.dll

    O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)

    O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s

    O4 - HKLM\..\Run: [lk1hannj] C:\WINDOWS\system32\lk1hannj.exe

    O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\FICHIE~1\WinTools\WToolsA.exe

    O4 - HKCU\..\Run: [Wjo] C:\WINDOWS\system32\n?pdb.exe
    ------------------------------------------
    ¤Recherche et supprime ceci:
    attention seulement ce qui est en gras

    C:\WINDOWS\system32\lk1hannj.exe
    C:\WINDOWS\system32\n?pdb.exe
    C:\Program Files\Fichiers communs\WinTools\WSup.exe
    C:\Program Files\Fichiers communs\WinTools<--le dossier
    ---------------------------------
    Passe adaware et vire tous se qu il trouve
    ----------------------------------
    Passe spybot et vire tous se qu il trouve
    -----------------------------------
    Tu vide ta poubelle et tu redemarre en mode normal et refait un Hijack
    ---------------------------------
    ¤Reactive ta restauration systeme:

    Clic droit sur poste de travail puis,
    propriété, tu clique sur onglet restauration système
    tu décoche la case désactiver la restauration et applique
    ----------------------------
    Tu caches tes fichiers cachés:

    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Décocher afficher les dossiers cacher

    Coche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Cocher masquer les extensions dont le type est connu

    Puis fais «Ok» pour valider les changements.
    -----------------------------------------------

    Precise tes soucis si il en restes....

    Tiens moi au courant

    a+
    0
  15. cyle
     
    Je te remercie pour ta patience et ton savoir faire! je vais imprimer ca (mauvaise mémoire) et je le ferais demain car a ce moment précis je ne tiens plus debout... lol
    Merci encore et je te tien au courant!
    ;-))
    0
  16. cyle
     
    Bonjour!
    Alors d'après les bons conseilles donné par regis59, voilà ce que me trouvent mes antivirus et autres protections:

    antivir:
    Configuration file:

    Name of configuration file: C:\Program Files\AVPersonal\AVWIN.INI
    Name of report file: C:\Program Files\AVPersonal\LOGFILES\AVWIN.LOG
    Start path: C:\Program Files\AVPersonal
    Command line:
    Start mode: unknown

    Mode of report file:
    [ ] Do not create report
    [X] Overwrite report
    [ ] Append new report

    Data in report file:
    [X] Infected files
    [ ] Infected files with paths
    [ ] All scanned files
    [ ] Full information

    Abridge report file:
    [ ] Abridge report file

    Warnings in report:
    [X] Access denied/file locked
    [X] Wrong file size in directory
    [X] Wrong creation time in directory
    [ ] COM file is too large
    [X] Invalid start address
    [X] Invalid EXE header
    [X] Possibly damaged

    Summary report:
    [X] Create summary report
    Output file: AVWIN.ACT
    Maximum number of entries: 100

    Where to search:
    [X] Memory
    [X] Boot record of selected drives
    [ ] Report unknown boot sectors
    [ ] All files
    [X] Program files
    Extensions: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

    Response in case of a detection:
    [X] Repair with prompt
    [ ] Repair without prompt
    [ ] Delete with prompt
    [ ] Delete without prompt
    [ ] Write in report file only
    [X] Acoustic alarm

    Response in case of destroyed files:
    [X] Delete with prompt
    [ ] Delete without prompt
    [ ] Ignore

    Response in case of destroyed files:
    [X] No change
    [ ] Current system time
    [ ] Correct date

    Drag&drop settings:
    [X] Scan subdirectories

    Profile settings:
    [X] Scan subdirectories

    Archive options
    [X] Search archive
    [X] All archive types

    Miscellaneous options:
    Temporary path: %TEMP% -> C:\DOCUME~1\CINDYL~1\LOCALS~1\Temp
    [X] Overwrite infected files
    [ ] Detect idle time
    [X] Allow interruptions of scan
    [X] Load AVWin®/NT Guard on System start

    General settings:
    [X] Save options on exiting AntiVir
    Priority: medium

    Drives:
    C: Hard disk
    D: CD-ROM

    Start of scan: vendredi, 27. mai 2005 12:05

    Memory test OK
    Master boot record of hard disk HD0 OK
    Boot record of drive C: OK

    C:\
    hiberfil.sys
    Access denied! Error during file opening!
    Error code: 0x000D
    WARNING! Access error/file locked!
    pagefile.sys
    Access denied! Error during file opening!
    This is a Windows swap file. This file is locked by Windows.
    Error code: 0x000D
    WARNING! Access error/file locked!
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery
    CommonName.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit1.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit10.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit11.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit12.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit13.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit2.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit3.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit4.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit5.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit6.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit7.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit8.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    DSOExploit9.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    PeopleOnPage.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    PeopleOnPage1.zip
    ArchiveType: ZIP
    NOTE! The whole archive is password protected
    C:\Program Files\WinRAR
    rarnew.dat
    ArchiveType: RAR
    NOTE! The archive is created by multiple volumes
    Error! Could not change directory: System Volume Information
    C:\WINDOWS\system32
    n?pdb.exe
    Access denied! Error during file opening!
    Error code: 0x0016
    WARNING! Access error/file locked!
    C:\WINDOWS\system32\config
    default
    Access denied! Error during file opening!
    Error code: 0x000D
    WARNING! Access error/file locked!
    SAM
    Access denied! Error during file opening!
    Error code: 0x000D
    WARNING! Access error/file locked!
    SECURITY
    Access denied! Error during file opening!
    Error code: 0x000D
    WARNING! Access error/file locked!
    software
    Access denied! Error during file opening!
    Error code: 0x000D
    WARNING! Access error/file locked!
    system
    Access denied! Error during file opening!
    Error code: 0x000D
    WARNING! Access error/file locked!

    End of scan: vendredi, 27. mai 2005 13:22
    Time taken: 76:43 min

    3880 directories were scanned
    49258 files were scanned
    8 warning messages were issued
    0 files were deleted
    0 files were repaired
    0 detections

    ad aware:
    ArchiveData(m.bckp)
    Referencefile : SE1R47 24.05.2005
    ======================================================

    IBIS TOOLBAR
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[0]=Regkey : software\wintools

    a2:

    Nom du fichier Diagnostic
    C:\Program Files\Fichiers communs\WinTools\WSup.exe AdWare.Wintol.aa
    C:\Program Files\Fichiers communs\WinTools\WToolsA.exe AdWare.Wintol.aa

    hijachthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 14:02:48, on 27.05.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\system32\cisvc.exe
    C:\WINDOWS\System32\gearsec.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\snmp.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
    C:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
    C:\Program Files\HP\HP Share-to-Web\hpgs2wnd.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Lexmark X5100 Series\lxbabmon.exe
    C:\Program Files\HP\HP Share-to-Web\hpgs2wnf.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\Program Files\AVPersonal\AVSched32.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\WINDOWS\system32\cidaemon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\WINDOWS\Explorer.EXE
    C:\hijack this\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ahmpqsmntgtrdebtnu.com/KDOk7/ZB3uIqrZnBIcPbolOrmQsYodhcuJ8704_1Zus.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\HP\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe"
    O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [LongAceDeleteCity] C:\Documents and Settings\All Users\Application Data\Seek draw long ace\flag more.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

    Aparement, il en reste quelques un mais pas de trace de ce cheval... lol
    Et ce qui reste, comment les retirer? et sont-il dangereux?

    Et pour finir, j'ai tout ceci pour protèger mon ordi:
    -ad-aware
    -antivir
    -spybot
    -a2
    Est-ce qu'il faut en rajouter, en retirer ou des meilleurs? (gratuits svp)
    0
  17. Utilisateur anonyme
     
    re !!

    C:\Program Files\Fichiers communs\WinTools<---supprime ce fichiers
    -----------------
    pour ta protection, rajoute un pare feu gratuit, jte conseilles zone alarm (et desactive celui de windows xp)

    http://fr.zonelabs.com/download/znalm.html

    ---------------
    peux tu lancer un scan en ligne?
    lance un scan chez RAV :
    http://www.ravantivirus.com/scan/

    Clique sur "To continue without subscribing click here" et attends quelques minutes.
    Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
    A la fin de l'analyse, copie/colle le rapport ici
    --------------
    pour hijack this, relance le et coche les cases devant ceci , une fois toutes les cases cochees apuis sur fix

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ahmpqsmntgtrdebtnu.com/KDOk7/ZB3uIqrZnBIcPbolOrmQsYodhcuJ8704_1Zus.ht ml

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

    O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s

    O4 - HKLM\..\Run: [LongAceDeleteCity] C:\Documents and Settings\All Users\Application Data\Seek draw long ace\flag more.exe <<<< tu connais? sinon fix

    a+
    0
    1. cyle
       
      Ca a été long! j'ai cru mourire d'ennui... lol
      bon, voilà le résultat, ca a l'air bon non?
      Scan started at 27.05.2005 14:32:17

      Scanning memory...
      Scanning boot sectors...
      Scanning files...

      Scanned
      ============================
      Objects: 44685
      Directories: 3873
      Archives: 7134
      Size(Kb): -53053
      Infected files: 0

      Found
      ============================
      Viruses found: 0
      Suspicious files: 0
      Disinfected files: 0
      Mail files: 127



      Et juste une quéstion, comment me débarasser de ces pub genre casino, warning, award... computer advertissmend...
      c'est des plaies toutes ces pubs! pourtant, j'ai ad.aware, spybot et mon fournisseur internet me fourni aussi un antispam!


      en tout cas, tu es génial régis! tu connais tout, tu es sympa et tjs disponible! Merci pour tout ;-)))
      0
  18. Utilisateur anonyme
     
    salut cyle

    c est bon ^^

    tu as msn +?
    0
    1. cyle
       
      oui, j'ai msn plus. tu croix que ca a un rapport?
      0
  19. Utilisateur anonyme
     
    oui, il faut tu le desinstalle et tu les reinstalle SANS les sponsors

    tiens moi au courant
    0
    1. cyle
       
      ok... je vais le faire! merci encore et encore merci!
      tu es sympa, mais j'espère pas devoir revenir ici pour des problèmes!

      bye!
      ;-) @ +++
      0
  • 1
  • 2