Sujet Précédent Sujet Suivant

Trojan horse impossible à iradiquer

cyle -  
 henryculture@yahoo.co.uk -
Bonsoir! cela fait déjà depuis 3 jours que j'essaye déséspérament d'éliminer les problèmes suivants:
- TR/Dldr.Apropo.R.2 (ceci est un trojan horse...)
- TR/Dldr.Wintool.F (ceci est un trojan horse...)
- DIAL/301187 (aucun info)
- C:\Windows\System32\n?pdb.exe (archive...impossible à effacer...)
J'ai Antivir xp et ad-aware... j'en peux plus de me renseigner sans trouver de résolution!
Merci d'avance pour votre aide!
A voir également:

29 réponses

  • 1
  • 2
Réponse 1 / 29
Utilisateur anonyme
 
salut,
demarer<poste de travail<c<program files<av personal<logfiles<NTGRDRT<(rapport journalier) et copie colle ou il y a les alertes, si tu les a eu aujourd hui met le rapport d aujourd hui

a+
0
Réponse 2 / 29
cyle
 
impossible a trouver... et redemarer l'analyse va prendre du temps... et j'ai aussi spybot. je vais redemarer ad-aware et afficher le rapport le plus vite possible. Merci qu'en même! ;-)
0
Réponse 3 / 29
cyle
 
Voilà ce que me dit a-squared:

C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@accelerator-media[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@adopt.hbmediapro[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@ads.mediacapital[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@adtech[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@bluestreak[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@casalemedia[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@com[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@cs.sexcounter[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@mcmads.mediacapital[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@media.publicites[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@oinadserve[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@revenue[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@tribalfusion[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@uol.com[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@weborama[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@windowsmedia[2].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@www.commentcamarche[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@www.edicom[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@www.smartadserver[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@yourmedia[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@z1.adserver[1].txt Trace.TrackingCookie
C:\Documents and Settings\Cindy Leone\Cookies\cindy leone@zedo[2].txt Trace.TrackingCookie
C:\Program Files\AVPersonal\INFECTED\CXTPLS_LOADER.EXE.VIR Trojan-Downloader.Win32.Apropo.ab
C:\Program Files\Fichiers communs\WinTools\WSup.exe AdWare.Wintol.aa
C:\Program Files\Fichiers communs\WinTools\WToolsA.exe AdWare.Wintol.aa
C:\Program Files\Fichiers communs\WinTools\WToolsB.dll AdWare.Wintol.y
0
Réponse 4 / 29
Utilisateur anonyme
 
tu as tout supprimer avec a²?

pour verifier rend toi ds la quarantaine d antivir
C:\Program Files\AVPersonal\INFECTED\CXTPLS_LOADER.EXE.VIR
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
cyle
 
bon, pour l'instant, antivir m'a déjà dit:
C:\Windows\System32\n?pdb.exe Could not be copied to the temporary directory
c'est quoi ca????
0
Réponse 6 / 29
Utilisateur anonyme
 
deja tout ce que a² donnait tu as supprimer?

ensuite
télécharge hijackthis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php

Dezippz le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lancez le puis:
clic sur "do a system scan and save logfile"
faire un copier coller du log entier sur le forum
0
Réponse 7 / 29
cyle
 
pour a2, j'ai tout supprimé. le scan de antivir donne tjs ce problème... : TR/Dldr.Wintool.F

ok, je vais faire ca! et je poste, :-))
0
Réponse 8 / 29
cyle
 
ca me demande d'effacer tout mes temporary internet files... je dois vraiement le faire? car il y a des desktop qu'il ne faut pas supprimer?
0
Réponse 9 / 29
Utilisateur anonyme
 
qu as tu fait pr qu il te demande ca?
0
Réponse 10 / 29
cyle
 
c'est l'aide sur zebulon qui le demande avant de lancer hijackthis. et du coup, je retrouve plus hijackthis. je me damande si j'ai réussi a le deziper car winzip à plus de 40 jours
0
Réponse 11 / 29
Utilisateur anonyme
 
clik sur recherche:hijack this
lancez le puis:
clic sur "do a system scan and save logfile"
faire un copier coller du log entier sur le forum
0
Réponse 12 / 29
cyle
 
Logfile of HijackThis v1.99.1
Scan saved at 01:00:36, on 27.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\HP\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\HP\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe
C:\Program Files\Lexmark X5100 Series\lxbabmon.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\lk1hannj.exe
C:\PROGRA~1\FICHIE~1\WinTools\WToolsA.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\AVPersonal\AVSched32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\n?pdb.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Fichiers communs\WinTools\WSup.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\Explorer.EXE
c:\progra~1\intern~1\iexplore.exe
C:\hijack this\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wbpdmcbokymwleqqsyfwyir.us/KDOk7/ZB3uJmBiSxwGPUbRfrvNIBYtZs2myPAY3uagcxPNaP8S7SnNJ5ro0QsiSG.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ahmpqsmntgtrdebtnu.com/KDOk7/ZB3uIqrZnBIcPbolOrmQsYodhcuJ8704_1Zus.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {18918EB5-48B6-06D3-78C4-CEFFE0391398} - C:\DOCUME~1\CINDYL~1\APPLIC~1\OnceMode\Flaw Dog.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\FICHIE~1\WinTools\WToolsB.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\HP\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LongAceDeleteCity] C:\Documents and Settings\All Users\Application Data\Seek draw long ace\flag more.exe
O4 - HKLM\..\Run: [lk1hannj] C:\WINDOWS\system32\lk1hannj.exe
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\FICHIE~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Wjo] C:\WINDOWS\system32\n?pdb.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0
Réponse 13 / 29
cyle
 
j'ai l'impression d'avoir 3000 antivirus qui servent a rien... BOUOU!
et ce que me dit antivir:

ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit5.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit6.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit7.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit8.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit9.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
PeopleOnPage.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
PeopleOnPage1.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
C:\Documents and Settings\Cindy Leone\Local Settings\Temporary Internet Files\Content.IE5\TX5UBRLI
WinTS[1].cab
ArchiveType: CAB (Microsoft)
--> WToolsS.exe
[DETECTION] Is the Trojan horse TR/Dldr.Wintool.F
C:\Program Files\WinRAR
rarnew.dat
ArchiveType: RAR
NOTE! The archive is created by multiple volumes
Error! Could not change directory: System Volume Information
C:\WINDOWS\AU_Temp\AU_Down\pattern
vsapi.zip
ArchiveType: ZIP
NOTE! No files to extract.
C:\WINDOWS\SoftwareDistribution\EventCache
{3E14FBC0-A87A-47A1-B087-3103EC475C81}.bin
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
{F583917B-F6C5-4157-B5BD-9C920AFC0B79}.bin
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
C:\WINDOWS\system32
n?pdb.exe
Access denied! Error during file opening!
Error code: 0x0016
WARNING! Access error/file locked!
C:\WINDOWS\system32\config
default
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
software
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
system
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!

End of scan: vendredi, 27. mai 2005 00:58
Time taken: 52:35 min

3941 directories were scanned
60687 files were scanned
10 warning messages were issued
0 files were deleted
0 files were repaired
1 detection
0
Réponse 14 / 29
Utilisateur anonyme
 
Bonjour,

Méthode a suivre dans l'ordre...
---------------------------------------------------------------------------------------
¤Télécharge ces 3 logiciels mais que tu n utilises pas tout de suite:

1/Ad-Aware :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html

Le patch en Français pour Ad-Aware :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html

2/Spybot :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html

3/Clean Up 312:
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
-----------------------------------------
¤Démarre en mode sans echec :
Pour cela, tu tapote la touche F8 des le debut de l allumage du pc sans t arreter
Une fenetre va souvrir tu te deplaces avec les fleches du clavier sur demarrer en mode sans echec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------
¤Désactive ta restauration systeme:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer !
---------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as telecharger avant)
3/http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
--------------------------------------------
¤Relance Hijack This, coche les cases devant ces lignes et ensuite clik sur fix:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wbpdmcbokymwleqqsyfwyir.us/KDOk7/ZB3uJmBiSxwGPUbRfrvNIBYtZs2myPAY3uag cxPNaP8S7SnNJ5ro0QsiSG.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ahmpqsmntgtrdebtnu.com/KDOk7/ZB3uIqrZnBIcPbolOrmQsYodhcuJ8704_1Zus.ht ml

O2 - BHO: (no name) - {18918EB5-48B6-06D3-78C4-CEFFE0391398} - C:\DOCUME~1\CINDYL~1\APPLIC~1\OnceMode\Flaw Dog.exe

O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\FICHIE~1\WinTools\WToolsB.dll

O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)

O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s

O4 - HKLM\..\Run: [lk1hannj] C:\WINDOWS\system32\lk1hannj.exe

O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\FICHIE~1\WinTools\WToolsA.exe

O4 - HKCU\..\Run: [Wjo] C:\WINDOWS\system32\n?pdb.exe
------------------------------------------
¤Recherche et supprime ceci:
attention seulement ce qui est en gras

C:\WINDOWS\system32\lk1hannj.exe
C:\WINDOWS\system32\n?pdb.exe
C:\Program Files\Fichiers communs\WinTools\WSup.exe
C:\Program Files\Fichiers communs\WinTools<--le dossier
---------------------------------
Passe adaware et vire tous se qu il trouve
----------------------------------
Passe spybot et vire tous se qu il trouve
-----------------------------------
Tu vide ta poubelle et tu redemarre en mode normal et refait un Hijack
---------------------------------
¤Reactive ta restauration systeme:

Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu décoche la case désactiver la restauration et applique
----------------------------
Tu caches tes fichiers cachés:

Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Décocher afficher les dossiers cacher

Coche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Cocher masquer les extensions dont le type est connu

Puis fais «Ok» pour valider les changements.
-----------------------------------------------

Precise tes soucis si il en restes....

Tiens moi au courant

a+
0
Réponse 15 / 29
cyle
 
Je te remercie pour ta patience et ton savoir faire! je vais imprimer ca (mauvaise mémoire) et je le ferais demain car a ce moment précis je ne tiens plus debout... lol
Merci encore et je te tien au courant!
;-))
0
Réponse 16 / 29
Utilisateur anonyme
 
ok a bientot

douce nuit ;-)
0
Réponse 17 / 29
cyle
 
Bonjour!
Alors d'après les bons conseilles donné par regis59, voilà ce que me trouvent mes antivirus et autres protections:

antivir:
Configuration file:

Name of configuration file: C:\Program Files\AVPersonal\AVWIN.INI
Name of report file: C:\Program Files\AVPersonal\LOGFILES\AVWIN.LOG
Start path: C:\Program Files\AVPersonal
Command line:
Start mode: unknown

Mode of report file:
[ ] Do not create report
[X] Overwrite report
[ ] Append new report

Data in report file:
[X] Infected files
[ ] Infected files with paths
[ ] All scanned files
[ ] Full information

Abridge report file:
[ ] Abridge report file

Warnings in report:
[X] Access denied/file locked
[X] Wrong file size in directory
[X] Wrong creation time in directory
[ ] COM file is too large
[X] Invalid start address
[X] Invalid EXE header
[X] Possibly damaged

Summary report:
[X] Create summary report
Output file: AVWIN.ACT
Maximum number of entries: 100

Where to search:
[X] Memory
[X] Boot record of selected drives
[ ] Report unknown boot sectors
[ ] All files
[X] Program files
Extensions: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Response in case of a detection:
[X] Repair with prompt
[ ] Repair without prompt
[ ] Delete with prompt
[ ] Delete without prompt
[ ] Write in report file only
[X] Acoustic alarm

Response in case of destroyed files:
[X] Delete with prompt
[ ] Delete without prompt
[ ] Ignore

Response in case of destroyed files:
[X] No change
[ ] Current system time
[ ] Correct date

Drag&drop settings:
[X] Scan subdirectories

Profile settings:
[X] Scan subdirectories

Archive options
[X] Search archive
[X] All archive types

Miscellaneous options:
Temporary path: %TEMP% -> C:\DOCUME~1\CINDYL~1\LOCALS~1\Temp
[X] Overwrite infected files
[ ] Detect idle time
[X] Allow interruptions of scan
[X] Load AVWin®/NT Guard on System start

General settings:
[X] Save options on exiting AntiVir
Priority: medium

Drives:
C: Hard disk
D: CD-ROM

Start of scan: vendredi, 27. mai 2005 12:05

Memory test OK
Master boot record of hard disk HD0 OK
Boot record of drive C: OK

C:\
hiberfil.sys
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
pagefile.sys
Access denied! Error during file opening!
This is a Windows swap file. This file is locked by Windows.
Error code: 0x000D
WARNING! Access error/file locked!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery
CommonName.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit1.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit10.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit11.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit12.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit13.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit2.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit3.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit4.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit5.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit6.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit7.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit8.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit9.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
PeopleOnPage.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
PeopleOnPage1.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
C:\Program Files\WinRAR
rarnew.dat
ArchiveType: RAR
NOTE! The archive is created by multiple volumes
Error! Could not change directory: System Volume Information
C:\WINDOWS\system32
n?pdb.exe
Access denied! Error during file opening!
Error code: 0x0016
WARNING! Access error/file locked!
C:\WINDOWS\system32\config
default
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
software
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
system
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!

End of scan: vendredi, 27. mai 2005 13:22
Time taken: 76:43 min

3880 directories were scanned
49258 files were scanned
8 warning messages were issued
0 files were deleted
0 files were repaired
0 detections

ad aware:
ArchiveData(m.bckp)
Referencefile : SE1R47 24.05.2005
======================================================

IBIS TOOLBAR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : software\wintools

a2:

Nom du fichier Diagnostic
C:\Program Files\Fichiers communs\WinTools\WSup.exe AdWare.Wintol.aa
C:\Program Files\Fichiers communs\WinTools\WToolsA.exe AdWare.Wintol.aa

hijachthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:02:48, on 27.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\HP\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Lexmark X5100 Series\lxbabmon.exe
C:\Program Files\HP\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\AVPersonal\AVSched32.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\hijack this\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ahmpqsmntgtrdebtnu.com/KDOk7/ZB3uIqrZnBIcPbolOrmQsYodhcuJ8704_1Zus.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\HP\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\HP\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [LongAceDeleteCity] C:\Documents and Settings\All Users\Application Data\Seek draw long ace\flag more.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Aparement, il en reste quelques un mais pas de trace de ce cheval... lol
Et ce qui reste, comment les retirer? et sont-il dangereux?

Et pour finir, j'ai tout ceci pour protèger mon ordi:
-ad-aware
-antivir
-spybot
-a2
Est-ce qu'il faut en rajouter, en retirer ou des meilleurs? (gratuits svp)
0
Réponse 18 / 29
Utilisateur anonyme
 
re !!

C:\Program Files\Fichiers communs\WinTools<---supprime ce fichiers
-----------------
pour ta protection, rajoute un pare feu gratuit, jte conseilles zone alarm (et desactive celui de windows xp)

http://fr.zonelabs.com/download/znalm.html

---------------
peux tu lancer un scan en ligne?
lance un scan chez RAV :
http://www.ravantivirus.com/scan/

Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici
--------------
pour hijack this, relance le et coche les cases devant ceci , une fois toutes les cases cochees apuis sur fix

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ahmpqsmntgtrdebtnu.com/KDOk7/ZB3uIqrZnBIcPbolOrmQsYodhcuJ8704_1Zus.ht ml

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s

O4 - HKLM\..\Run: [LongAceDeleteCity] C:\Documents and Settings\All Users\Application Data\Seek draw long ace\flag more.exe <<<< tu connais? sinon fix

a+
0
cyle
 
Ca a été long! j'ai cru mourire d'ennui... lol
bon, voilà le résultat, ca a l'air bon non?
Scan started at 27.05.2005 14:32:17

Scanning memory...
Scanning boot sectors...
Scanning files...

Scanned
============================
Objects: 44685
Directories: 3873
Archives: 7134
Size(Kb): -53053
Infected files: 0

Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 127



Et juste une quéstion, comment me débarasser de ces pub genre casino, warning, award... computer advertissmend...
c'est des plaies toutes ces pubs! pourtant, j'ai ad.aware, spybot et mon fournisseur internet me fourni aussi un antispam!


en tout cas, tu es génial régis! tu connais tout, tu es sympa et tjs disponible! Merci pour tout ;-)))
0
Réponse 19 / 29
Utilisateur anonyme
 
salut cyle

c est bon ^^

tu as msn +?
0
cyle
 
oui, j'ai msn plus. tu croix que ca a un rapport?
0
Réponse 20 / 29
Utilisateur anonyme
 
oui, il faut tu le desinstalle et tu les reinstalle SANS les sponsors

tiens moi au courant
0
cyle
 
ok... je vais le faire! merci encore et encore merci!
tu es sympa, mais j'espère pas devoir revenir ici pour des problèmes!

bye!
;-) @ +++
0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses
Comment enlever mon virus trojan:win32/si...
bryanoulet -
juju666 -

58 réponses
cheval de troie trojan
idnoder -
idnoder -

42 réponses