Impossible de supprimer 3 trojans

nicky2 Messages postés 101 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

J'ai 3 virus sous Windows XP Pro que mon antivirus Kapersky (ainsi que d'autres tel que AVG..) reconnaissent mais n'arrive pas à supprimer. Il s'agit de trojan de type Win32.commonName.a et Win32.CommonName.b qui se sont logés sous c:\program Files\tsrsvttt\fawDakrn.exe et NrKAdwaf.exe. Le troisième trojan
du type rootkit.win32.agent.q est logé sous c:\windows\system32\winik.sys.
En allant sous les fichiers infectés il m'est impossible de les supprimer.
Quelqu'un a la solution à ce type de malware sans devoir forcément formater tout le disque

Scanning en mode sans echec et restauration désactivée n'ont rien donné de plus.

Merci par avance

Nicky

85 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Plusieurs infections sous Windows XP, dont des trojans Win32.commonName.a/b et un rootkit Win32.agent.q, se logent dans des répertoires protégés et résistent aux suppressions habituelles connues. Certaines réponses recommandent d'utiliser HijackThis pour identifier les entrées de démarrage et les fichiers suspects, puis de partager les rapports pour guider la suppression ciblée. En parallèle, des conseils demandent d'afficher les fichiers cachés et de renommer ou supprimer manuellement des éléments comme winik.sys et d'autres executables sitôt détectés parfois. D'autres propositions évoquent l'usage d'outils comme RegSrch pour localiser les entrées système associées et encouragent un redémarrage et une vérification répétée après suppression des malwares.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    salut redemare en mode sans echec ensuite a l'aide de l'explorer supprime les fichier infecté
    ou sinon a l'aide de la commande
    demarrer/recherché tape :

    fawDakrn.exe
    NrKAdwaf.exe
    winik.sys
    tu les supprime et tu vide ta corbeille

    si t'arrive pas a les supprimé utilise The KILL BOX c 'est un outil tres performant .
    @+++++
    0
  2. nicky2 Messages postés 101 Statut Membre
     
    J' ai réessayer en mode sans échec de supprimer les programmes infectés mais sans succès ("accès refusé", je suppose qu'ils sont chargé dès le démarrage). Je vais encore essayé Killbox.
    Autrement, le cas échéant, y a t-il d'autres options ? (peut être par la base de registre )

    Merci par avance
    0
  3. Utilisateur anonyme
     
    salut il existe un moyen de les supprimé avec the killbox au demarage .
    lance the kill box , va dans : Action/ delete on reboot/ file /add file
    ensuite tu ajoute les fichier infecté puis tu clike sur Action/ process and reboot

    @+++
    0
  4. nicky2 Messages postés 101 Statut Membre
     
    Kapersky offre aussi cette option de supression au prochain demarrage mais cela ne donne rien. Je vais néanmoins essayé ce soir et je te tiens informé.
    Merci encore pour tes conseils
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. nicky2 Messages postés 101 Statut Membre
     
    J' ai essayé killbox il m'a permis d'enlever 2 trojan sur 3. Il me reste toujours le trojan rootkit attaché au fichier winik.sys. J'ai bien mis l'option delete on reboot et il m'a enlever les 2 premiers sans faire de reboot , simplement en agissant sur la base de registre (je crois). Sur le 3eme virus il ne fait pas de reboot, me dit que le fichier a été annulé mais il est toujours présent. Y a t il une autre configuration a choisir ou evtl un autre programme.
    Je te remercie neanmoins deja pour ces conseil et ce petit programme qui est néanmoins efficace
    0
  7. Utilisateur anonyme
     
    salut nicky2, jess

    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijack
    et surtout pas dans un dossier temporaire (temp)
    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.

    a+
    0
  8. Utilisateur anonyme
     
    salut moe31 :-) . le fichier winik.sys a l'air coriace mais on va y'arrivé...
    @+++
    0
  9. Utilisateur anonyme
     
    salut jess ;-)

    j'espere, mais je trouve pas trop d'infos sur ce fichier.
    on verra avec son hijack.
    je vais pas tarder à arreter pour ce soir... fatigué et demain boulot :-(

    a+
    0
  10. Utilisateur anonyme
     
    oui c'est pour ca que j'ai dit qu'il est coriace parceque y'a pas bcp d'info sur ce virus .moi aussi je vais arrété la pour ce soir :-(

    @++++
    bonne nuit !!!
    0
  11. yeb76 Messages postés 49 Statut Membre 3
     
    salut .
    as tu essayé de demarrer en mode DOS (avec une disquette de demarrage) et deleter le fichier en question ?
    @+
    Marc
    0
  12. nicky2 Messages postés 101 Statut Membre
     
    J'ai istallé hijackthis sur le c: et fait un scan. Voici mon fichier log:
    Je precise que mon disque dur est partitionné et que toutes les donnees principales se trouvent sur le c: (windows, office..)

    Logfile of HijackThis v1.99.1
    Scan saved at 06:58:40, on 22.06.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    F:\UTILIT~1\AVG7~1.0\avgamsvr.exe
    F:\UTILIT~1\AVG7~1.0\avgupsvc.exe
    C:\WINDOWS\System32\GEARSec.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    c:\windows\system32\dllcache\win32\winlogon.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
    c:\windows\system32\dllcache\win32\csrss.exe
    C:\WINDOWS\Explorer.EXE
    E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exe
    C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Nicolas\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_f.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
    O4 - HKLM\..\Run: [AdaptecDirectCD] E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exe
    O4 - HKCU\..\Run: [] C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/en/oneclick/uninstbb.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EC1440E7-CC8D-4A88-B35D-C63A19301100}: NameServer = 195.186.1.108,195.186.4.109
    O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40}
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgupsvc.exe
    O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
    O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
    0
  13. Utilisateur anonyme
     
    salut nicky

    est ce que tu as toujours le dossier c:\program Files\tsrsvttt ?

    si oui, va dans tsrsvttt et donne nous le nom de tous les fichiers qui se trouvent à l'interieur.
    si, à l'interieur du dossier, tu trouve un fichier nommé profile.dat, tu l'ouvre avec le bloc note et tu copie et colle ici ce qu'il contient.
    merci.

    a+
    0
  14. nicky2 Messages postés 101 Statut Membre
     
    De mémoire le dossier existe toujours mais je dois regarder si le fichier en question y est enregistré. Etant au bureau en ce moment et pas devant mon PC infecté je vais essayer de regarder à midi sinon ce soir. En attendant y-a-t-il d'autres informations qui resortent de ce log relatives à ce trojan rootkit lié au fichier winik.sys ?

    A+
    0
  15. nicky2 Messages postés 101 Statut Membre
     
    Voici le contenu de mon fichier profile.dat :

    H \ P r o g r a m F i l e s \ t s r s v t t t \ f A w D A k R N .
    d l l H
    0
  16. Utilisateur anonyme
     
    salut nicky

    tu es sure que c'est tout ?
    Est ce qu'il reste des fichiers dans le dossier t s r s v t t t , si oui donne nous leurs nom stp.
    et reposte un hijack.

    a+
    0
  17. nicky2 Messages postés 101 Statut Membre
     
    Voici les autres fichiers du dossier tsrsvttt et leur contenu ainsi qu'un hijack à la fin du message:

    Est-ce que le probleme winik.sys se trouve dans ce dossier ou dans son dossier d'origine qui est c:\windows\system32\drivers ?

    babe.dat:

    KhtQFxMEAlVWTVsNCwBUWV5UEBAAWEZYUHlAQgwaGiFPHgBBPgoFRxkWCgBDLgFDUjcaFwcaAEV8BAAVUFYHAUkqAU1bQlYKHEkCCAZHRA8SS0hQEA==
    KhtQFxMEAlVWTkZSCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cBiFURUgRHURvRwgdD1Q=
    KhtQFxMEAlVWTkZRCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cHyFURUgRHURvRwgdD1Q=
    KhtQFxMEAlVWTkZQCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4GMlFOADcHA1VWCFgvRw==
    KhtQFxMEAlVWTkZXCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4fMlFOADcHA1VWCFgvRw==
    KhtQFxMEAlVWTkkVCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOAwJGhEEFk1Ibw8DTX0aAgkGEEhwRREAFR8LWQxlGE1bUgwJDEkCUxtUAg==
    KhtQFxMEAlVWSU8NCwBUWV5UEBABWEZYUHlAQhoYGWAICgsOZ0YGDA0SC1xEbgcJWSUGFQxaElMiHVFFEBMCDUB+TQtUD0tHDRpEFUEL
    KhtQFxMEAlVWQ1tSCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVVUUT1RFAUAnUlICChRF
    KhtQFxMEAlVWQ1tRCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVUwUT1RFAUAnUlICChRF
    KhtQFxMEAlVWV1sLCwBUWV5UEBAAWEZYUHlAQhoYGWAWAhdMKBoICAYGDABFNEIPTz9GEBtbBFN8FR9HUhQAA0ctUlJJVBpaSlRFRgcUAklITRI=
    KhtQFxMEAlVWU0cLCwBUWV5UEBABWEZYUHlAQh4GGitPHgBBPgoFRwcKDFsOIgMBDyEAEw0HFkEgBhtLWR0AHXE0AAIdT0tHChFHQQ0UAgJbVUlyRV9CVhECYwoDCVJMNRkQRw==
    KhtQFxMEAlVWQ0UHCwBUWV5UEBABWEZYUHlAQhoYGWACAghPKAZDBxERS1UOahFOADAMAAEaTgJjDQcRAkxKS1k0GF4aHQQIDBsORgZdD0keG00PElVeVhECOBcQTw==
    KhtQFxMEAlVWVFsXCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOB0CBhgHBVwOIgMBDyYdBTcHFkEgBhsAAFkVFE0cHBUYAAoPWktWdxBMQUBTWA0PElJVVUVOfk1dUhkxPQQMF0MkVE9JEQsAEwI6FBEC
    KhtQFxMEAlVWQ0EACwBUWV5UEBAAWEZYUHlAQgMOAytPDgtOJQpDBxERSk1Obg8CDjYFC0pUEUU1DB1YUEZDCk8uCk1bUgwJDEkCUxtUAg==
    KhtQFxMEAlVWQ1oNCwBUWV5UEBABWEZYUHlAQjZfQ3c8RjkOF1lAUClOOAB7cUFVfXk1STNEXhkPTlwGHAVLAEIvM08fBVQEBUYGRgJERQ8SEFJIVVleDw4QZQEMAApTbEEIC0RxSxYRCUc=
    KhtQFxMEAlVWQkkHCwBUWV5UEBAAWEZYUHlAQhoYGWALBAtJPwwMGxcNSk1PbxkHDyEMBhoXGw4zFgNHUhQAA0ctUlJJTRpaSlRFRgcUAklITRI=
    KhtQFxMEAlVWRUQXCwBUWV5UEBAAWEZYUHlAQh4KDzwCBUtFLRsZARgMCkUOLwkYDyEMBhoXGwJyBxYCGxhYRh5lHk1bUgwJDEkCUxtUAg==

    dfs.dat:
    KhtQFxMEAlVWTVsNCwBUWV5UEBAAWEZYUHlAQgwaGiFPHgBBPgoFRxkWCgBDLgFDUjcaFwcaAEV8BAAVUFYHAUkqAU1bQlYKHEkCCAZHRA8SS0hQEA==
    KhtQFxMEAlVWTkZSCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cBiFURUgRHURvRwgdD1Q=
    KhtQFxMEAlVWTkZRCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cHyFURUgRHURvRwgdD1Q=
    KhtQFxMEAlVWTkZQCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4GMlFOADcHA1VWCFgvRw==
    KhtQFxMEAlVWTkZXCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4fMlFOADcHA1VWCFgvRw==
    KhtQFxMEAlVWTkkVCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOAwJGhEEFk1Ibw8DTX0aAgkGEEhwRREAFR8LWQxlGE1bUgwJDEkCUxtUAg==
    KhtQFxMEAlVWSU8NCwBUWV5UEBABWEZYUHlAQhoYGWAICgsOZ0YGDA0SC1xEbgcJWSUGFQxaElMiHVFFEBMCDUB+TQtUD0tHDRpEFUEL
    KhtQFxMEAlVWQ1tSCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVVUUT1RFAUAnUlICChRF
    KhtQFxMEAlVWQ1tRCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVUwUT1RFAUAnUlICChRF
    KhtQFxMEAlVWV1sLCwBUWV5UEBAAWEZYUHlAQhoYGWAWAhdMKBoICAYGDABFNEIPTz9GEBtbBFN8FR9HUhQAA0ctUlJJVBpaSlRFRgcUAklITRI=
    KhtQFxMEAlVWU0cLCwBUWV5UEBABWEZYUHlAQh4GGitPHgBBPgoFRwcKDFsOIgMBDyEAEw0HFkEgBhtLWR0AHXE0AAIdT0tHChFHQQ0UAgJbVUlyRV9CVhECYwoDCVJMNRkQRw==
    KhtQFxMEAlVWQ0UHCwBUWV5UEBABWEZYUHlAQhoYGWACAghPKAZDBxERS1UOahFOADAMAAEaTgJjDQcRAkxKS1k0GF4aHQQIDBsORgZdD0keG00PElVeVhECOBcQTw==
    KhtQFxMEAlVWVFsXCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOB0CBhgHBVwOIgMBDyYdBTcHFkEgBhsAAFkVFE0cHBUYAAoPWktWdxBMQUBTWA0PElJVVUVOfk1dUhkxPQQMF0MkVE9JEQsAEwI6FBEC
    KhtQFxMEAlVWQ0EACwBUWV5UEBAAWEZYUHlAQgMOAytPDgtOJQpDBxERSk1Obg8CDjYFC0pUEUU1DB1YUEZDCk8uCk1bUgwJDEkCUxtUAg==
    KhtQFxMEAlVWQ1oNCwBUWV5UEBABWEZYUHlAQjZfQ3c8RjkOF1lAUClOOAB7cUFVfXk1STNEXhkPTlwGHAVLAEIvM08fBVQEBUYGRgJERQ8SEFJIVVleDw4QZQEMAApTbEEIC0RxSxYRCUc=
    KhtQFxMEAlVWQkkHCwBUWV5UEBAAWEZYUHlAQhoYGWALBAtJPwwMGxcNSk1PbxkHDyEMBhoXGw4zFgNHUhQAA0ctUlJJTRpaSlRFRgcUAklITRI=
    KhtQFxMEAlVWRUQXCwBUWV5UEBAAWEZYUHlAQh4KDzwCBUtFLRsZARgMCkUOLwkYDyEMBhoXGwJyBxYCGxhYRh5lHk1bUgwJDEkCUxtUAg==

    url2.dat:

    Nh0cRFBYDxwAUBJMBldFR2weSl1fV15JfG1BR0IcCy8TDg18c0tNBxsRWQwQZx8NHRxL
    Nh0cRFBYDxwAUBJMBg4YQ1VRX1FYbBxVQSsAAjFBDSEMQhZFLRsOAVZFCkFUfE5cBjBURQ==
    Nh0cRFBYDxwAUBJMBg4YQ1VRX1FYbBxBUy0zQw4AA2ETCBZVIB0eRxUWFHVYHEYwH3BJCQcATgJiQxAKBxgRWQw=
    Nh0cRFBZDxwAUBJMBldXUh5RXlkeU11BDzQKD1JNTiAOGVgCfE8dCBMAWQw=
    Nh0cRFBZDxwAUBJMBldFRx5RQV5EWFdbRSFBDgICQT0EDBdDJFZPSRoKEBMCcUoDHXA=
    Nh0cRFBZDxwAUBJMBlNXUUJTRRxcSVFDU20MAgBACisHDBBMOEcMGgRaRg5OLhhRAmJPAQEGAFRvRw==
    Nh0cRFBZDxwAUBJMBlNXUUJTRRxRX14CQywCQgwAAi0OAEpTKQgfChxaRg5OLhhRAmJPFwkTFh1w
    Nh0cRFBZDxwAUBJMBldFRx5YQkZSX0YCQywCQgkKCC8UAREOLRodVlZFCkFUfE5cBjQAFRsATgI=
    Nh0cRFBZDxwAUBJMBlMcRFVfQFMeU11BDzAKDB8MBnFDTQtPOFRPWVIVBUlFfE4=
    Nh0cRFBZDxwAUBJMBlNXUUJTRRxUXV1WDiwdCkIMCSdMDwxOYxoICAYGDBECYQIDVG9LV04HB0EgEU5H
    Nh0cRFBZDxwAUBJMBlZbRllDRF9fHlFDTWwcCAwdDSZeT0VOIx1QS0QTXkhJLQlOAA==
    Nh0cRFBYDxwAUBJMBg4YbB5RQUZRRltfVCJBDgICQTkED0pSKRoYBQAWOBECYQIDVG9LV04HB1FvRw==
    Nh0cRFBZDxwAUBJMBk1BSF1cA1dIU1tYRW0MAgBAByAHAktYLwAZDFsWAU9SIgRDVzcLSEpUHU8mWFFUX1kIF1JuQBQJUA==
    Nh0cRFBZDxwAUBJMBldFRx5UQlVAWV5JDiAAAEIGACgOQwFPKxkBRgcABVxDKUMbRTBGRUgaHFRvR0JIXRsWGANsCwBb
    Nh0cRFBZDxwAUBJMBldFRx5dSEZRU0BNVy8KH0MMASNOBAtGI0cADAAEBwFTJA0eQzpGEA0WXAJyCxwRT1RUSQEuHAxUXQ0XSg==
    Nh0cRFBZDxwAUBJMBkRCSF1cA0VVUlFeQTQDCB9BDSEMQgxOKgZDHhYGFllMbh8JQSAKD0cDFkJ9R1MLHQJYRh9uQB0KDkRIDAQC
    Nh0cRFBZDxwAUBJMBldFRx5dTF9dURxPTy5AIAwCAy9eT0VOIx1QS0RDDUBEJBRRAg==
    Nh0cRFBZDxwAUBJMBldFRx5DSFNCU1oCQywCQh4KDzwCBVoC
    Nh0cRFBYDxwAUBJMBlNXUUJTRW4eVVBNWR9BQ0dAHSsAHwZIYxoICAYGDABELQBCCiMcAhoNTgI=

    url9.dat:

    Nh0cRFASAgoJXGUwZ21hcnx3SFxVQltPXA48LyEiPQA1AgFBNT4EBzcJBV1TYw==
    Nh0cRFASAgoJXHcCQE1tfVleRHBCX0VfRTEsAQwcHWw=
    Nh0cRFASAgoJXAtQGxcFABN5bmMQZ1dAQywCCE8=
    Nh0cRFAoKCRUY0AKRUROfXR5bl5ZVVxYXAIgIU0pHC8MCFcVbg==
    Nh0cRFAvNSk5ZXtRVW9CZ1leSV1HEg==
    Nh0cRFAkCBIdTEQCfklcVF9Hbl5RQ0FQbSwVBAEDDxkIAwFPOyoBCAcWRg==
    Nh0cRFAgCRwRUkYGXQB3SEBcQkBVQm1/RTEZCB8TNwY1ICljIwcZCB0LAVxcYl9eF2VZRDEVG089RFMsHAUMAEsxTQ==

    fawdakrn.dll:

    MZ ÿÿ ¸ @ º ´ Í!¸LÍ!This program cannot be run in DOS mode.

    ú ôù 4 €s €t € † ` t dù CreateURLMoniker urlmon.dll w SHGetValueA SHLWAPI.dll f InternetGetConnectedState V InternetCloseHandle q InternetOpenUrlA o InternetOpenA InternetSetOptionA w InternetReadFile WININET.dll WSOCK32.dll IsDestinationReachableA SensApi.dll r ShellExecuteA SHELL32.dll lstrlenA ùlstrcatA lstrcpyA lstrlenW ÒWideCharToMultiByte ú GetCurrentThreadId äMultiByteToWideChar ­InterlockedDecrement °InterlockedIncrement &GetModuleHandleA [GetSystemInfo uGetVersionExA >GetProcAddress CloseHandle ÛModule32Next ÙModule32First L CreateToolhelp32Snapshot ø GetCurrentProcessId ÆVirtualQuery éWriteProcessMemory ÷ GetCurrentProcess ÃVirtualProtect ÿlstrcmpiA ÂLoadLibraryA ] DisableThreadLibraryCalls $GetModuleFileNameA ªInitializeCriticalSection ÁLeaveCriticalSection f EnterCriticalSection HeapDestroy U DeleteCriticalSection NGetShortPathNameA FindClose FindNextFileA :GetPrivateProfileStringA ” FindFirstFileA lstrcpynA }GetWindowsDirectoryA YGetSystemDirectoryA Q DebugBreak õOutputDebugStringA ´ FreeLibrary GetLocaleInfoA J CreateThread KERNEL32.dll XSetWindowLongA VGetWindowLongA YSetWindowLongW WGetWindowLongW ‘IsWindowUnicode CallWindowProcA SendMessageA ^GetWindowTextA ªkeybd_event µMapVirtualKeyA ^SetWindowTextA CallNextHookEx GetFocus GetKeyState bSetWindowsHookExA GetGUIThreadInfo †UnhookWindowsHookEx ¬wsprintfA í GetClassNameA 5GetParent «LoadStringA % CharNextA Y CreateWindowExA ®wvsprintfA Õ FindWindowA RGetWindow • DispatchMessageA ‚TranslateMessage ÊMsgWaitForMultipleObjects ÜPeekMessageA SendMessageTimeoutA RegisterWindowMessageA USER32.dll [RegCloseKey {RegQueryValueExA rRegOpenKeyExA _RegCreateKeyExA †RegSetValueExA ADVAPI32.dll
    CoCreateInstance S CoUninitialize - CoInitialize ole32.dll OLEAUT32.dll I __CxxFrameHandler íwcsstr Lfclose ffwrite Wfopen àwcschr î_wcsnicmp Ástrncpy ¾strlen ºstrcpy Å_strnicmp __mbsicmp ??2@YAPAXI@Z —memcpy ˜memmove |_mbsstr ™memset ê_wcsicmp ·strchr Rfgets ¸strcmp Ðtime w_mbsrchr c_mbslwr ’_purecall –memcmp Y_mbscmp ½_strcmpi æwcslen #_ismbcdigit =atoi \_mbscspn X_mbschr h_mbsnbcpy e_mbsnbcmp z_mbsspn sisdigit Gdifftime šmktime µsscanf localtime ñ _ftol >atol ½strftime Åstrstr Ãstrrchr qisalpha ]fread pisalnum Çstrtok ¶strcat A _CxxThrowException ^free U __dllonexit †_onexit MSVCRT.dll Ê _except_handler3 . ?terminate@@YAXXZ _initterm ‘malloc _adjust_fdiv ??1type_info@@UAE@XZ ImageDirectoryEntryToData IMAGEHLP.dll GetLastError ÌLocalFree Ž _access Ë_strupr ÎöA H ø 8 ÿJ KC ¯C ›J §J ÀJ •J ÀJ z Š P œ ® ¹ ^ l IK2.DLL DllGetVersion InstallAppMon ReleaseAppMon DllCanUnloadNow DllGetClassObject DllRegisterServer DllStartup DllUnregisterServer + U © / Y ƒ ­ ã6 Õ8 9 M9 ‰9 Å9 @I Ò xlÿÿÿÿ http: x p s n . c o m c o m m o n n a m e . c o m http c:\cnbabe.log a+b
    h t t p s : h t t p : shdoclc.dll/dnserror.htm r e s : /? ? http:// c o n n e c t i n g . . . &kw= cn: YES & &enc=yes aÓ¯ÍЊ> ÀOÉânÁ@Qm6t΀4 ª ` úSOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ E x p l o r e r \ B r o w s e r H e l p e r O b j e c t s %S Advapi32.dll RegOpenKeyA RegOpenKeyW RegCloseKey RegEnumKeyExA RegEnumKeyExW r %s\obj.dat guid IEFrame CabinetWClass way url %s\url9.dat http://www.commonname.com Internet Explorer_Server|Shell DocObject View|CabinetWClass Internet Explorer_Server|Shell DocObject View|IEFrame  ã )I kO óO hO hO ÄT Y/¶(eÑ– ø

    explorer.exe R E G I S T R Y M o d u l e À F€ã ã £Hü©+Ï¢) ª =sR À FÆ«ÿÈ·xB“™ùûó~ À FFavorites Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders InternetShortcut URL .url *.* = Copyright (c) 2000-2002, CommonName Limited. All Rights Reserved. http://www.commonname.com/cns.asp?cc=%s&lc=%s&cx=%s&app=%d&vs=8.0&rs=%s&dsn=%s&grp=%s http://www.commonname.com/find.asp?app=%d&vs=8.0&rs=%s&dsn=%s&grp=%s&cc=%s&lc=%s&cn=%s Software\%s\Agent EnableBrowserAgent ResolveIntranetName ResolveBookmarkName ShowTooltip Software\%s\App ErrorUrl ErrorPar ErrorEpa VisitUrl VisitWay VisitAct VisitDays VisitSecs LastVisitDate LastVisitTime Software\%s\User DSN GRP UDT UTM Software\Microsoft\%s\Main RedirectHttpError Friendly http errors no http://www.commonname.com/en/agent/url%d.asp http://www.commonname.com/en/agent/injt%d.asp http://www.commonname.com/en/agent/goto%d.asp http://www.commonname.com/en/agent/asku%d.asp http://www.trafficexplorer.com/url/beamup.asp http://www.trafficexplorer.com/url/inject.asp http://www.trafficexplorer.com/url/askact.asp http://www.trafficexplorer.com/ron/askact.asp Enter Keyword or Web Address Here tooltips_class32 %s\hosts %s\drivers\etc\hosts %s\host.dat http://%s/ BabeIE Floating point (%%e, %%f, %%g, and %%G) is not supported by the WTL::CString class. not end begin find name %s\babe.dat {x} {e} {b} {-} ^$.[()|?+*\ %d:%d:%d %d/%d/%d ShowHTMLDialogEx MSHTML.DLL urlx.dat %H:%M:%S %d/%.zw .zm .za .yu .yt .ye .ws .wf .vu .vn .vi .vg .ve .vc .va .uz .uy .us .um .uk .ug .ua .tz .tw .tv .tt .tr .tp .to .tn .tm .tk .tj .th .tg .tf .td .tc .sz .sy .sv .su .st .sr .so .sn .sm .sl .sk .sj .si .sh .sg .se .sd .sc .sb .sa .rw .ru .ro .re .qa .py .pw .pt .ps .pr .pn .pm .pl .pk .ph .pg .pf .pe .pa .om .nz .nu .nr .np .no .nl .ni .ng .nf .ne .nc .na .mz .my .mx .mw .mv .mu .mt .ms .mr .mq .mp .mo .mn .mm .ml .mk .mh .mg .md .mc .ma .ly .lv .lu .lt .ls .lr .lk .li .lc .lb .la .kz .ky .kw .kr .kp .kn .km .ki .kh .kg .ke .jp .jo .jm .je .it .is .ir .iq .io .in .im .il .ie .id .hu .ht .hr .hn .hm .hk .gy .gw .gu .gt .gs .gr .gq .gp .gn .gm .gl .gi .gh .gg .gf .ge .gd .gb .ga .fr .fo .fm .fk .fj .fi .et .es .er .eh .eg .ee .ec .dz .do .dm .dk .dj .de .cz .cy .cx .cv .cu .cr .co .cn .cm .cl .ck .ci .ch .cg .cf .cd .cc .ca .bz .by .bw .bv .bt .bs .br .bo .bn .bm .bj .bi .bh .bg .bf .be .bd .bb .ba .az .aw .au .at .as .ar .aq .ao .an .am .al .ai .ag .af .ae .ad .ac .eu .museum .aero .coop .name .info .int .mil .pro .biz .gov .edu .org .net .com javascript: vbscript: telenet: gopher: mailto: https: ftp: file: about: res: www. :// ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+:*[0-9]*$ %s\domain.dat %s\scheme.dat rb %s\url.dat %s\%s www :/. &by=%d CANCEL ASKU INJX INJT GOTO VIST NACT CNML XSHL XDLG XPOP ESHL EDLG EPOP IPOP NWAY %s\url%d.dat max src Edit ComboBox ToolbarWindow32 ReBarWindow32 ComboBoxEx32 Software\Microsoft\Internet Explorer\International AcceptLanguage <cn <m= &ldt= &url= &lc= &cc= &grp= ?dsn= <epa CommonName Agent # Internet Explorer_Server|Shell DocObject View|Shell Embedding {eb} button static ObjectFromLresult WM_HTML_GETOBJECT OLEACC.DLL  å .?AV_com_error@@  å .?AVtype_info@@ exit.dat:

    fx0VHkw=
    fwYEWRMKEwEbThVBbUVeZlFcDxJCX11YHWEnJiEiTG4KCBwdbjoiLyAyJXxlHSEFQyAGFAcSB3wFDB0BHQEWOG02HQIcHB0xDQZTQQxHfGBFXn9DUVUSEkJBLgpQTzweNyMCEXMiLU9GSg==
    fwYEWRMKEwEbThVBbUVeZlFcDxJCX11YHWEnJiEiTG4KCBwdbjoiLyAyJXxlHSEFQyAGFAcSB3wFDB0BHQEWOG02HQIcHB0xDQZTQQxHfGBFXn9DUVUSEkJBLgpQTy4vGUNCWw==
    f0ACHBVX

    obj.dat:

    LQ4dHE9LBAZWAE8WQEQPEksAHXYAc3RpEm5XKykpQ3oHCAANDlpUX1kmIBoSAlwuGWRfVCkJUQ==
    LQ4dHE9LBAZWAE8WQEQPEksBaANyAgobGW5XVSspQ39QKVcNdC1UX1khU29jAC9VFWtcVi4JUQ==
    LQ4dHE9LBgsGT0oCXQISV0VZSQ8SSwIaGHdWKFQpQw1ZKVINeC1YUFknXBlkbFtUFBBeI142NhAQVg5H
    LQ4dHE9LAAcbR0QGCwBVRVlUEBBLcXMZGAYrWFVCXn8lKUgUKFBcRExWVx0NAipdEGdeUFxDQGZlGFE=
    LQ4dHE9LHgkcT0dBCUdHWVQND0kAAAZtFXtbXUApKHtYQFQRKFtAK0FVIAMQcVVcEmVYI1syNxQvRw==
    LQ4dHE9LChsaAggEXElWDRJLFAEJBHdoZXRCLlUtW2NVVVZlYVFaXkdIUBkUAypfFhMvUS1ADgI=
    LQ4dHE9LChsaAggEXElWDRJLb3ZydANoYQdCLlRbWGNVLFQXYSgpKkVIUhpidC5YZhRcUixEDgI=
    LQ4dHE9LFQcWT04MW00QEFdFRFYNEkkbEncLWV4OV2NRCV0VYVhcDUBIXRcQeUFcEGZZV11GQEVhXBIYUA==
    LQ4dHE9LBgQRWElBCUdHWVQND0l2AXRtYgZYVEBdWwgiQFEWKAxAUTdQJQMSAlooYmstUVxHQBMvRw==
    LQ4dHE9LFQkaS0ENTgISV0VZSQ8SSwIbFAZcLCxYQ3lWXF0NeF1dXVknV2gYbCoqGBQrUlxFR2ViIA5H
    LQ4dHE9LAQQVU0AETFQQEFdFRFYNEkltFXBZW1tYXWMkVSZhYVhcLUdIXW1keEFcEGtZVV9FNxBlUDEYUA==
    LQ4dHE9LAgoVWQpDTlVbVA0SVgIAAXQeFXRfQFgrKHtMXFREf0QvUE1USR4QAFwvGRArV1BDR11w

    url1.dat:

    Nh0cRFBZDxwAUBJMBldFRx5EX0dDRFdIUyYOHw4HQC0OAEpTKQgfChxaRg5BIhhRAjEICQsRHwI= url8.dat:

    Nh0cRFAsAwEAXGUwZxYSZ1leSV1HE2FJQTEMBU0tDzwdIDZuekk6ABoBC1kCYQ0PVG9LAAcAHAJyCxIIF0tHCV0tTQ==
    Nh0cRFAsAwEAXHciZmxtc19dT11SX0pQfwIgITI7ASENDwRSMCgiJVQxC0FMIw0eXBMmK0gyAUE/AEFQUFYEB1p+TRcWBgZFSBpBRQYUAlNfXBI=
    Nh0cRFAsAwEAXHwqbGFWVEJVXkFMZGZueBcAAgENDzwdOTFiCAYOAggxNE9OJAAQdDQbCikCEk4mJwEKBQUAFgxjDhMNT0sABwBPCkNHQV9VDRJMREQS
    Nh0cRFAsAwEAXG8MRkdeVWRRXllSUUBQciYtDB84ByAFAhITfhU+AREJCHF0Mw0VdzwNRUgVEFRvRwUMAQJHRFkiFk1bFxkIGFY=
    Nh0cRFAsAwEAXGUwZxYSZ1leSV1HE2FFRCZPLwwdEgMyI1MAGwADDRsSRg5BIhhRAiQAFBxWU1czHE5HFwYKFAxjGBEAT0sCGBtQCkNHQV9VDRJAQV5DEA==
    Nh0cRFAsAwEAXHwiRUlVXnNfQFBfcl1UXBc7LzU7ASENDwRSMD05KzAKB0VcFTwNTjcFGzwSAU0TExILBjQXC1kwCgJbUggEHEkCXgpaVBAQR1FUDxJVQkNQYU8DDAILc0MME1Q/Sw==
    Hijack:

    Logfile of HijackThis v1.99.1
    Scan saved at 20:33:02, on 22.06.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    F:\UTILIT~1\AVG7~1.0\avgamsvr.exe
    F:\UTILIT~1\AVG7~1.0\avgupsvc.exe
    C:\WINDOWS\System32\GEARSec.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    c:\windows\system32\dllcache\win32\winlogon.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
    c:\windows\system32\dllcache\win32\csrss.exe
    C:\WINDOWS\Explorer.EXE
    E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exe
    C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
    C:\WINDOWS\System32\msiexec.exe
    C:\WINDOWS\System32\MsiExec.exe
    C:\WINDOWS\System32\MsiExec.exe
    C:\WINDOWS\System32\MsiExec.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_f.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
    O4 - HKLM\..\Run: [AdaptecDirectCD] E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exe
    O4 - HKCU\..\Run: [] C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/en/oneclick/uninstbb.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EC1440E7-CC8D-4A88-B35D-C63A19301100}: NameServer = 195.186.1.108,195.186.4.109
    O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40}
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgupsvc.exe
    O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
    O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
    0
  18. Utilisateur anonyme
     
    Salut

    ok, les noms des fichiers suffisaient, c'était juste pour savoir le contenu du dossier.

    imprime ou enregistre dans le bloc note pour etre sure de tout faire dans l'ordre et de ne rien oublier.

    Telecharge: Pocket Killbox ici
    http://www.downloads.subratam.org/KillBox.exe
    une petite aide en image pour l'utiliser ici:
    http://get.yourfile.net/ix48472.jpg

    Déconnecte toi d'internet:

    Vide le cache d'Internet Explorer et supprime les cookies:

    * Panneau de configuration >> Options internet >> Onglet "Général"
    - Clic sur [supprimer les cookies]
    - Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
    Valide avec ok

    Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:

    Désactive la restauration systéme.
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".
    clic sur ok pour valider
    (accepte le redemarrage).

    Redémarre en mode sans échec
    Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher " afficher les fichiers et dossiers cachés "
    Décocher " masquer les extentions des fichiers dont le type est connu
    Décocher " masquer les fichiers protégés du système"
    clic sur ok pour valider

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis et clic sur "do a system scan only"
    cocher la case au début des lignes suivantes:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
    O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)

    pour les 2 ci dessous:
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    est ce que tu utilise un programme style spybot, reglé pour empecher les modification (page de demarrage, etc...), sinon oui, garde les et dans la cas contraire coche les.

    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/en/oneclick/uninstbb.cab
    O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40}

    valider avec [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite, tres important:

    :: Supprimer les fichiers temporaires ::

    * C:\Documents and Settings\ton compte\Local Settings\Temp
    * C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
    * C:\Temp
    * C:\Windows\Temp
    vider tout le contenu des dossiers en gras.

    :: Le contenu du dossier prefetch ::

    * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

    * Ne pas oublier de vider la corbeille !

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    1- Double-clic sur KillBox.exe
    2- ouvre le bloc note et copie la liste en gras ci-dessous
    3- Selectionne "Delete on Reboot"
    4- Copie le chemin du 1er fichier de la liste en gras et colle dans "Full Path of File to Delete"
    5- clic sur le bouton rouge
    6- une fenetre va apparaitre pour confirmation clic sur YES
    7- une seconde fenetre te demande si tu veux redemarrer clic sur NO

    Recommence à l'étape 3 pour chaques fichiers de la liste en gras.
    Une fois le dernier fichier selectionnées, a l'étape 7 clic sur YES

    liste:
    C:\Program Files\tsrsvttt\babe.dat
    C:\Program Files\tsrsvttt\dfs.dat
    C:\Program Files\tsrsvttt\url2.dat
    C:\Program Files\tsrsvttt\url9.dat
    C:\Program Files\tsrsvttt\fawdakrn.dll
    C:\Program Files\tsrsvttt\obj.dat
    C:\Program Files\tsrsvttt\url1.dat
    C:\windows\system32\winik.sys


    Redemarre normalement, supprime le dossier C:\Program Files\tsrsvttt normalement vide et ensuite fais un scan AV ici:
    http://www.ravantivirus.com/scan/
    Clic sur "To continue without subscribing click here"
    Accepte le control active x
    Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
    A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis

    Ne pas oublier après les manips de recocher" masquer les fichiers protégés du système" dans les options des dossiers

    a+
    0
  19. nicky2 Messages postés 101 Statut Membre
     
    @Moe31

    Salut,

    Tout d'abord je tenais à te remercier infiniment pour toute tes explications et ta procédure de destruction de virus. J'ai bien suivi tes instructions et J'ai ainsi reussi a supprimer le dossier tsrsvtt mais le fichier winik.sys et toujours présent. Ton antivirus online n'a pas reconnu de virus sur mon PC (j'ai oublié de copier le rapport) mais mon antivirus Kapersky détecte toujours ce trojan rootkit fixé sur le fichier winik.sys. Je dois signaler que mon PC démarre un peu plus rapidement à présent. Voici encore mon Hijack:

    Logfile of HijackThis v1.99.1
    Scan saved at 07:01:02, on 23.06.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    F:\UTILIT~1\AVG7~1.0\avgamsvr.exe
    F:\UTILIT~1\AVG7~1.0\avgupsvc.exe
    C:\WINDOWS\System32\GEARSec.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    c:\windows\system32\dllcache\win32\winlogon.exe
    C:\WINDOWS\System32\nvsvc32.exe
    c:\windows\system32\dllcache\win32\csrss.exe
    C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
    C:\WINDOWS\Explorer.EXE
    E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exe
    C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_f.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
    O4 - HKLM\..\Run: [AdaptecDirectCD] E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exe
    O4 - HKCU\..\Run: [] C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EC1440E7-CC8D-4A88-B35D-C63A19301100}: NameServer = 195.186.1.108,195.186.4.109
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgupsvc.exe
    O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
    O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
    0
  20. nicky2 Messages postés 101 Statut Membre
     
    Voici le rapport:

    REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "winik" 23.06.2005 19:59:21

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]
    "Service"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]
    "DeviceDesc"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]
    "ActiveService"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]
    "DisplayName"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]
    "0"="Root\\LEGACY_WINIK\\0000"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
    "Service"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
    "DeviceDesc"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]
    "DisplayName"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
    "Service"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
    "DeviceDesc"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]
    "ActiveService"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]
    "DisplayName"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]
    "0"="Root\\LEGACY_WINIK\\0000"

    [HKEY_USERS\S-1-5-21-776561741-706699826-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
    "c"="C:\\WINDOWS\\system32\\drivers\\winik.sys"

    [HKEY_USERS\S-1-5-21-776561741-706699826-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]
    "a"="C:\\WINDOWS\\system32\\drivers\\winik.sys"
    0
  • 1
  • 2
  • 3
  • 4
  • 5