Virus trojans Back Door-CQQ

Résolu
gloriano57 Messages postés 262 Statut Membre -  
gloriano57 Messages postés 262 Statut Membre -
Bonjour à tous non PC windows 2000 pro vient de prendre un trojan dans
c:\winnt\system32\poller.exe du nom de Back Door-cqq
mon anti virus : Mc Afee virus Scan 7.1.0
débutant en informatique merci de bien vouloir me donner la marche à suivre encore merci à tous de vous attarder sur des gens comme moi @+

103 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
Résumé de la discussion

Un utilisateur sous Windows 2000 Pro signale qu'un cheval de Troie est détecté dans c:\winnt\system32\poller.exe, nommé Back Door-cqq, et demande les démarches à suivre, avec un antivirus McAfee VirusScan 7.1.0. Plusieurs conseils préconisent de lancer une analyse complète, d'identifier les éléments de démarrage malveillants via des outils comme HijackThis et de supprimer ou désactiver les entrées ou fichiers suspects. Des échanges évoquent l'examen du fichier autoexec.nt, la suppression de bdoscandel.exe et la vérification des services suspects, tout en ne gardant que antivirus et pare-feu au démarrage. En cas d'infection persistante, certains recommandent l’utilisation d’un outil spécialisé pour nettoyer les clés de registre et les démarrages résiduels, puis de vérifier les mises à jour des définitions et les analyses récurrentes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gloriano57 Messages postés 262 Statut Membre 8
     
    Merci Regis 59 bien obligé je ne connais pas grand choses
    et je m'en remet à vous @+
    1
  2. speed_dragon
     
    tu pourra aussi downloader A2 (a-squared) qui est un anti trojan de ce genre et pour hijackthis, tu pourra sur http://www.hijackthis.de/ pour savoir quel fichier sont infecter ou pas
    0
  3. Utilisateur anonyme
     
    salut,
    il vaut mieux poster le resultat ici, l emploi de ce robot est delicat, il voit pas tous, et les manips sont a faire....bref, a vous de voir si vous faites confiance a ce robot ou si vous faites plus confiance aux personnes de ce forum

    bonne soiree
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. gloriano57 Messages postés 262 Statut Membre 8
     
    merci à vous mais j'aurais beusoin de plus de détails de votre part je suis vraiment leger en informatique @+

    Logfile of HijackThis v1.99.1
    Scan saved at 21:47:03, on 04/06/2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\FTRTSVC.exe
    C:\Program Files\Accessoires\InCD\InCDsrv.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    C:\PROGRA~1\PHILIP~1\VProperty.exe
    C:\Program Files\Accessoires\InCD\InCD.exe
    C:\WINNT\system32\iedriver.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\Web_Rebates\WebRebates0.exe
    C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
    C:\Program Files\Fichiers communs\CMEII\CMESys.exe
    C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE
    C:\Program Files\Media Access\MediaAccK.exe
    C:\Program Files\Internet Optimizer\optimize.exe
    C:\Program Files\Media Access\MediaAccess.exe
    C:\WINNT\system32\gah95on6.exe
    C:\WINNT\system32\DNSLoadTester.exe
    C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Bsbr\Jkrhw.exe
    C:\Program Files\Fichiers communs\GMT\GMT.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\winnt\system32\rlvknlg.exe
    C:\WINNT\system32\internat.exe
    C:\PROGRA~1\Wanadoo\Toaster.exe
    C:\PROGRA~1\Wanadoo\Inactivity.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    D:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\PROGRA~1\Wanadoo\ALERTM~1.EXE
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Web_Rebates\WebRebates1.exe
    D:\Mes Documents\Jean\Prog a Installer\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lpvixhcftouyvwpiiz.com/cp8HwnVmQbJrJXp3BhoMgyQFQXI2cfGQuuAuyIGesumLayCY7I_HwQjrqjKtrEwr.jpg
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://taelxpapipqnpspzdjtcomquc.com/cp8HwnVmQbKyfrnhxX5rOtjkD5mdr6oDwmCSa_d204U.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bw.myway.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myway.com/mysearch/?ptnrS=BW
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
    O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll
    O2 - BHO: (no name) - {8906875F-06E1-951B-691A-5E824D739566} - C:\DOCUME~1\JEANER~1\APPLIC~1\SCRMAI~1\corn curb.exe
    O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem303.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Program Files\DashBar\DashBar21.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] C:\Program Files\Accessoires\InCD\InCD.exe
    O4 - HKLM\..\Run: [iedriver] C:\WINNT\system32\iedriver.exe
    O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
    O4 - HKLM\..\Run: [conscorr] C:\WINNT\conscorr.exe
    O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
    O4 - HKLM\..\Run: [satmat] C:\WINNT\satmat.exe
    O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"
    O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
    O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
    O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
    O4 - HKLM\..\Run: [gah95on6] C:\WINNT\system32\gah95on6.exe
    O4 - HKLM\..\Run: [Uybktid] C:\Program Files\Rpvg\Tgqvxbq.exe
    O4 - HKLM\..\Run: [DNSLoadTester] C:\WINNT\system32\DNSLoadTester.exe -run http://oss-content.marketscore.com/dnstest/
    O4 - HKLM\..\Run: [Wanadoo Messager.exe] "C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe" /background
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [LESSCDROMBOOBVGA] C:\Documents and Settings\All Users\Application Data\Exit Win Less Cdrom\dvdacid.exe
    O4 - HKLM\..\Run: [Tgdqh] C:\Program Files\Bsbr\Jkrhw.exe
    O4 - HKLM\..\Run: [OSS] C:\winnt\system32\rlvknlg.exe -boot
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
    O4 - HKCU\..\Run: [IMOL] IMOLApp.exe /c
    O4 - HKCU\..\Run: [axis joy] C:\DOCUME~1\JEANER~1\APPLIC~1\32FLAG~1\hold meet.exe
    O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\regclean.exe"
    O4 - Startup: Pense-bête.lnk = C:\Program Files\Mindscape\PrintMaster\PMREMIND.EXE
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
    O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c18.cab
    O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINNT\System32\FTRTSVC.exe
    O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Accessoires\InCD\InCDsrv.exe
    O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
    0
  6. Utilisateur anonyme
     
    re,
    heureusement tu fais confiance au forum car c est une sacree infection !!

    je te tiens au courant

    a+
    0
  7. Utilisateur anonyme
     
    Bonjour,

    Méthode a suivre dans l'ordre...
    ---------------------------------------------------------------------------------------
    ¤Télécharge ces 3 logiciels mais que tu n utilises pas tout de suite:

    1/Ad-Aware :

    http://www.florensac-chasse-trap.com/ section virus

    2/Spybot :

    http://www.florensac-chasse-trap.com/ section virus

    3/Clean Up 312:
    http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
    -----------------------------------------
    ¤Démarre en mode sans echec :
    Pour cela, tu tapote la touche F8 des le debut de l allumage du pc sans t arreter
    Une fenetre va souvrir tu te deplaces avec les fleches du clavier sur demarrer en mode sans echec puis tape entrée.
    Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
    (Si F8 ne marche pas utilise la touche F5)
    ----------------------------------------------------------
    ¤Désactive ta restauration systeme:
    Clic droit sur poste de travail puis,
    propriété, tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique
    ------------------------------------
    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer !
    ---------------------------------
    ¤Vide tes fichiers temps et tempory internet file:
    utilise ceci pour le faire (tu as telecharger avant)
    3/http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
    --------------------------------------------
    ¤Relance Hijack This, coche les cases devant ces lignes et ensuite clik sur fix:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lpvixhcftouyvwpiiz.com/cp8HwnVmQbJrJXp3BhoMgyQFQXI2cfGQuuAuyIGesumLay CY7I_HwQjrqjKtrEwr.jpg

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://taelxpapipqnpspzdjtcomquc.com/cp8HwnVmQbKyfrnhxX5rOtjkD5mdr6oDwmCSa_d204U .htm

    R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe

    O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll

    O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll

    O2 - BHO: (no name) - {8906875F-06E1-951B-691A-5E824D739566} - C:\DOCUME~1\JEANER~1\APPLIC~1\SCRMAI~1\corn curb.exe

    O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem303.dll

    O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Program Files\DashBar\DashBar21.dll

    O4 - HKLM\..\Run: [iedriver] C:\WINNT\system32\iedriver.exe

    O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"

    O4 - HKLM\..\Run: [conscorr] C:\WINNT\conscorr.exe

    O4 - HKLM\..\Run: [satmat] C:\WINNT\satmat.exe

    O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"

    O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

    O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

    O4 - HKLM\..\Run: [gah95on6] C:\WINNT\system32\gah95on6.exe

    O4 - HKLM\..\Run: [Uybktid] C:\Program Files\Rpvg\Tgqvxbq.exe

    O4 - HKLM\..\Run: [Tgdqh] C:\Program Files\Bsbr\Jkrhw.exe <si tu connais pas

    O4 - HKLM\..\Run: [OSS] C:\winnt\system32\rlvknlg.exe -boot

    O4 - HKCU\..\Run: [axis joy] C:\DOCUME~1\JEANER~1\APPLIC~1\32FLAG~1\hold meet.exe

    O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

    O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

    ------------------------------------------
    ¤Recherche et supprime ceci:
    attention seulement les fichiers

    C:\WINNT\system32\iedriver.exe
    C:\Program Files\Web_Rebates<--le dossier
    C:\Program Files\Fichiers communs\CMEII<--le dossier
    C:\Program Files\Media Access<---le dossier
    C:\Program Files\Internet Optimizer<--le dossier
    C:\WINNT\system32\gah95on6.exe
    C:\Program Files\Fichiers communs\GMT\GMT.exe
    C:\Program Files\Bsbr\Jkrhw.exe < tu connais? sinon supprime ossi
    C:\winnt\system32\rlvknlg.exe
    C:\WINNT\Nail.exe
    C:\WINNT\conscorr.exe
    C:\WINNT\satmat.exe
    C:\winnt\system32\rlvknlg.exe -boot

    ---------------------------------
    double clik sur nail fix cmd
    http://users.pandora.be/bluepatchy/nailfix.zip
    --------------
    Passe adaware et vire tous se qu il trouve
    ----------------------------------
    Passe spybot et vire tous se qu il trouve
    -----------------------------------
    Tu vide ta poubelle et tu redemarre en mode normal et refait un Hijack
    ---------------------------------

    Precise tes soucis si il en restes....

    Tiens moi au courant, tu es la plus infecté j ai jamais vu lol

    si tu galeres quelque part, demande mais je penses avoir bien expliqué

    a+, bon courage, tiens moi au courant ^^
    0
  8. gloriano57 Messages postés 262 Statut Membre 8
     
    J'ai un probleme pour d'ésactiver la réstauration du systeme sur windows 2000 pro si vous pouvez m aider merci @+
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    si je me souvient sous 2000 il ny a pas de restauration
    0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    pas coucher regis lol
    moi j avais du monde a la maison donc pas actif se soir
    0
    1. gloriano57
       
      Bonjour à tous pas trop de perturbations avec mon trojans mais je suis bloqué avec ma restauration systeme pour balltrap le site perso dans profil comment on y va ?debutant en informatique merci
      0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    dans se message clik sur mon pseudo en bleue
    0
  12. gloriano57 Messages postés 262 Statut Membre 8
     
    J'ai relencé hijack this coché les cases rt clik sur fix
    je suis devant la page blanche ? quoi faire merci!...
    0
  13. gloriano57 Messages postés 262 Statut Membre 8
     
    Blltrap pour rechercher et suprimer les fichiers comment je doit faire? merci @+
    0
  14. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    tu passe par l explorateur et tu suis le chemin
    ex//tu lance l explorateur tu clik sur
    C:\WINNT\system32\iedriver.exe
    0
  15. gloriano57 Messages postés 262 Statut Membre 8
     
    salut balltrap encore des problemes impossible supprimer
    C:\Program Files\Web_Rebates<--le dossier
    C:\Program Files\Media Access<---le dossier

    et le dossier
    C:\winnt\system32\rlvknlg.exe -boot introuvable!..
    que doije faire merci de votr aide @+
    0
  16. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    ceux que tu peut pas laisse tomber fait tous le reste et refait un hijack
    0
  17. gloriano57 Messages postés 262 Statut Membre 8
     
    voici le nouveau hijack quesque tu en pense?

    Logfile of HijackThis v1.99.1
    Scan saved at 21:34:18, on 05/06/2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\FTRTSVC.exe
    C:\Program Files\Accessoires\InCD\InCDsrv.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    C:\PROGRA~1\PHILIP~1\VProperty.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\Accessoires\InCD\InCD.exe
    C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
    C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE
    C:\WINNT\system32\DNSLoadTester.exe
    C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
    C:\PROGRA~1\Wanadoo\ComComp.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\PROGRA~1\Wanadoo\Toaster.exe
    C:\PROGRA~1\Wanadoo\Inactivity.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\PROGRA~1\Wanadoo\ALERTM~1.EXE
    D:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\PROGRA~1\Wanadoo\Watch.exe
    C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
    D:\Mes Documents\Jean\Prog a Installer\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.biyjeocfgjvuezyzgxuzwfwu.com/cp8HwnVmQbJrJXp3BhoMgyQFQXI2cfGQuuAuyIGesum2nrU7weBTbQjrqjKtrEwr.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bw.myway.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myway.com/mysearch/?ptnrS=BW
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Mes Documents\Jean\Prog a Installer\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] C:\Program Files\Accessoires\InCD\InCD.exe
    O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
    O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
    O4 - HKLM\..\Run: [DNSLoadTester] C:\WINNT\system32\DNSLoadTester.exe -run http://oss-content.marketscore.com/dnstest/
    O4 - HKLM\..\Run: [Wanadoo Messager.exe] "C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe" /background
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [LESSCDROMBOOBVGA] C:\Documents and Settings\All Users\Application Data\Exit Win Less Cdrom\dvdacid.exe
    O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
    O4 - HKCU\..\Run: [IMOL] IMOLApp.exe /c
    O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\regclean.exe"
    O4 - HKCU\..\Run: [axis joy] C:\DOCUME~1\JEANER~1\APPLIC~1\32FLAG~1\hold meet.exe
    O4 - Startup: Pense-bête.lnk = C:\Program Files\Mindscape\PrintMaster\PMREMIND.EXE
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
    O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c18.cab
    O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BBBF922E-0FC7-43AA-A5FD-21934DBC5972}: NameServer = 80.10.246.1 80.10.246.132
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINNT\System32\FTRTSVC.exe
    O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Accessoires\InCD\InCDsrv.exe
    O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
    0
  18. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    desinstaler msn plus 3 elle le reinstalerat plus tard en faisant attention de cocher ou decocher ne pas accepter le sponsor

    imprime ceci pour ne rien oublier et tous faire
    tous faire dans l ordre imperativement
    -------------------------
    tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore
    adaware (1)
    spyboot (2)
    (ici) http://www.florensac-chasse-trap.com/ section virus
    et aussi ceci
    CleanUp312.exe (3)
    et aussi ceci

    telecharge ceci (4)
    http://www.downloads.subratam.org/l2mfix.exe

    ----------------
    desactive ta restauration systeme
    pour ça tu fais clic droit sur poste de travail
    propriété tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique
    ------------

    demarre en mode sans echec
    mode sans echec pour cela tu tapote la touche f8
    des le debut de l allumage du pc sans t arreter
    une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
    une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
    -------------------------

    assure toi de ceci
    Affiche tous les fichiers et dossiers :
    cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer
    ----------------------
    vide tes fichiers temps et tempory internet file sur tous les utilisateur
    utilise ceci pour le faire
    http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

    --------------------
    relance hijack coche ces lignes et ensuite clik sur fix
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.biyjeocfgjvuezyzgxuzwfwu.com/cp8HwnVmQbJrJXp3BhoMgyQFQXI2cfGQuuAuyIGesum2nrU7weBTbQjrqjKtrEwr.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bw.myway.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myway.com/mysearch
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
    O4 - HKLM\..\Run: [DNSLoadTester] C:\WINNT\system32\DNSLoadTester.exe -run http://oss-content.marketscore.com/dnstest/
    O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
    O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c18.cab
    O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe

    ----------------------
    recherche et suppr ceci
    attention seulement les fichiers
    C:\WINNT\Nail.exe
    C:\WINNT\system32\DNSLoadTester.exe
    C:\Program Files\Media Access<==le dossier
    C:\WINNT\svcproc.exe

    ---------------
    clik sur Démarrer->exécuter->tape: services.msc

    Double-clique: System Startup Service (SvcProc)

    Règle-le sur "Arrêté" et "Désactivé".

    -------------------------
    utilise le prog n°4 que tu as telecharger
    decompresse le double clik sur l2mfix.bat appuie sur n importe quelle touche et ensuite choisi l option 2

    passe adaware et vire tous se qu il trouve
    ----------
    passe spy boot et vire tous se qu il trouvent
    -------------

    tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

    et precise ou en sont tes soucis

    --
    0
  19. gloriano57 Messages postés 262 Statut Membre 8
     
    impossible de supprimer ce fichier
    C:\WINNT\system32\DNSLoadTester.exe
    pas trouvé celui la
    C:\Program Files\Media Access<==le dossier
    Marche a suivre
    merci balletrap
    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6