Sujet Précédent Sujet Suivant

Impossible de supprimer 3 trojans

Fermé
nicky2 Messages postés 97 Date d'inscription vendredi 20 mai 2005 Statut Membre Dernière intervention 6 décembre 2009 - 20 juin 2005 à 21:42
 Utilisateur anonyme - 21 août 2005 à 22:07
Bonjour,

J'ai 3 virus sous Windows XP Pro que mon antivirus Kapersky (ainsi que d'autres tel que AVG..) reconnaissent mais n'arrive pas à supprimer. Il s'agit de trojan de type Win32.commonName.a et Win32.CommonName.b qui se sont logés sous c:\program Files\tsrsvttt\fawDakrn.exe et NrKAdwaf.exe. Le troisième trojan
du type rootkit.win32.agent.q est logé sous c:\windows\system32\winik.sys.
En allant sous les fichiers infectés il m'est impossible de les supprimer.
Quelqu'un a la solution à ce type de malware sans devoir forcément formater tout le disque

Scanning en mode sans echec et restauration désactivée n'ont rien donné de plus.

Merci par avance


Nicky
A voir également:

85 réponses

Réponse 1 / 85
Utilisateur anonyme
20 juin 2005 à 21:52
salut redemare en mode sans echec ensuite a l'aide de l'explorer supprime les fichier infecté
ou sinon a l'aide de la commande
demarrer/recherché tape :

fawDakrn.exe
NrKAdwaf.exe
winik.sys
tu les supprime et tu vide ta corbeille

si t'arrive pas a les supprimé utilise The KILL BOX c 'est un outil tres performant .
@+++++
0
Réponse 2 / 85
nicky2 Messages postés 97 Date d'inscription vendredi 20 mai 2005 Statut Membre Dernière intervention 6 décembre 2009
21 juin 2005 à 07:53
J' ai réessayer en mode sans échec de supprimer les programmes infectés mais sans succès ("accès refusé", je suppose qu'ils sont chargé dès le démarrage). Je vais encore essayé Killbox.
Autrement, le cas échéant, y a t-il d'autres options ? (peut être par la base de registre )

Merci par avance
0
Réponse 3 / 85
Utilisateur anonyme
21 juin 2005 à 09:59
salut il existe un moyen de les supprimé avec the killbox au demarage .
lance the kill box , va dans : Action/ delete on reboot/ file /add file
ensuite tu ajoute les fichier infecté puis tu clike sur Action/ process and reboot


@+++
0
Réponse 4 / 85
nicky2 Messages postés 97 Date d'inscription vendredi 20 mai 2005 Statut Membre Dernière intervention 6 décembre 2009
21 juin 2005 à 10:17
Kapersky offre aussi cette option de supression au prochain demarrage mais cela ne donne rien. Je vais néanmoins essayé ce soir et je te tiens informé.
Merci encore pour tes conseils
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 85
nicky2 Messages postés 97 Date d'inscription vendredi 20 mai 2005 Statut Membre Dernière intervention 6 décembre 2009
21 juin 2005 à 21:25
J' ai essayé killbox il m'a permis d'enlever 2 trojan sur 3. Il me reste toujours le trojan rootkit attaché au fichier winik.sys. J'ai bien mis l'option delete on reboot et il m'a enlever les 2 premiers sans faire de reboot , simplement en agissant sur la base de registre (je crois). Sur le 3eme virus il ne fait pas de reboot, me dit que le fichier a été annulé mais il est toujours présent. Y a t il une autre configuration a choisir ou evtl un autre programme.
Je te remercie neanmoins deja pour ces conseil et ce petit programme qui est néanmoins efficace
0
Réponse 6 / 85
Utilisateur anonyme
21 juin 2005 à 22:00
salut nicky2, jess

telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijack
et surtout pas dans un dossier temporaire (temp)
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.

a+
0
Réponse 7 / 85
Utilisateur anonyme
21 juin 2005 à 22:13
salut moe31 :-) . le fichier winik.sys a l'air coriace mais on va y'arrivé...
@+++
0
Réponse 8 / 85
Utilisateur anonyme
21 juin 2005 à 22:20
salut jess ;-)

j'espere, mais je trouve pas trop d'infos sur ce fichier.
on verra avec son hijack.
je vais pas tarder à arreter pour ce soir... fatigué et demain boulot :-(

a+
0
Réponse 9 / 85
Utilisateur anonyme
21 juin 2005 à 22:27
oui c'est pour ca que j'ai dit qu'il est coriace parceque y'a pas bcp d'info sur ce virus .moi aussi je vais arrété la pour ce soir :-(

@++++
bonne nuit !!!
0
Réponse 10 / 85
yeb76 Messages postés 47 Date d'inscription jeudi 28 avril 2005 Statut Membre Dernière intervention 29 juin 2010 3
22 juin 2005 à 00:38
salut .
as tu essayé de demarrer en mode DOS (avec une disquette de demarrage) et deleter le fichier en question ?
@+
Marc
0
Réponse 11 / 85
nicky2 Messages postés 97 Date d'inscription vendredi 20 mai 2005 Statut Membre Dernière intervention 6 décembre 2009
22 juin 2005 à 07:03
J'ai istallé hijackthis sur le c: et fait un scan. Voici mon fichier log:
Je precise que mon disque dur est partitionné et que toutes les donnees principales se trouvent sur le c: (windows, office..)

Logfile of HijackThis v1.99.1
Scan saved at 06:58:40, on 22.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\UTILIT~1\AVG7~1.0\avgamsvr.exe
F:\UTILIT~1\AVG7~1.0\avgupsvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\dllcache\win32\winlogon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
c:\windows\system32\dllcache\win32\csrss.exe
C:\WINDOWS\Explorer.EXE
E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nicolas\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_f.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [AdaptecDirectCD] E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKCU\..\Run: [] C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/en/oneclick/uninstbb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC1440E7-CC8D-4A88-B35D-C63A19301100}: NameServer = 195.186.1.108,195.186.4.109
O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40}
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgupsvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
0
Réponse 12 / 85
Utilisateur anonyme
22 juin 2005 à 07:52
salut nicky

est ce que tu as toujours le dossier c:\program Files\tsrsvttt ?

si oui, va dans tsrsvttt et donne nous le nom de tous les fichiers qui se trouvent à l'interieur.
si, à l'interieur du dossier, tu trouve un fichier nommé profile.dat, tu l'ouvre avec le bloc note et tu copie et colle ici ce qu'il contient.
merci.

a+
0
Réponse 13 / 85
nicky2 Messages postés 97 Date d'inscription vendredi 20 mai 2005 Statut Membre Dernière intervention 6 décembre 2009
22 juin 2005 à 08:18
De mémoire le dossier existe toujours mais je dois regarder si le fichier en question y est enregistré. Etant au bureau en ce moment et pas devant mon PC infecté je vais essayer de regarder à midi sinon ce soir. En attendant y-a-t-il d'autres informations qui resortent de ce log relatives à ce trojan rootkit lié au fichier winik.sys ?

A+
0
Réponse 14 / 85
nicky2 Messages postés 97 Date d'inscription vendredi 20 mai 2005 Statut Membre Dernière intervention 6 décembre 2009
22 juin 2005 à 13:03
Voici le contenu de mon fichier profile.dat :

H \ P r o g r a m F i l e s \ t s r s v t t t \ f A w D A k R N .
d l l H
0
Réponse 15 / 85
Utilisateur anonyme
22 juin 2005 à 17:42
salut nicky

tu es sure que c'est tout ?
Est ce qu'il reste des fichiers dans le dossier t s r s v t t t , si oui donne nous leurs nom stp.
et reposte un hijack.

a+
0
Réponse 16 / 85
nicky2 Messages postés 97 Date d'inscription vendredi 20 mai 2005 Statut Membre Dernière intervention 6 décembre 2009
22 juin 2005 à 20:35
Voici les autres fichiers du dossier tsrsvttt et leur contenu ainsi qu'un hijack à la fin du message:

Est-ce que le probleme winik.sys se trouve dans ce dossier ou dans son dossier d'origine qui est c:\windows\system32\drivers ?




babe.dat:

KhtQFxMEAlVWTVsNCwBUWV5UEBAAWEZYUHlAQgwaGiFPHgBBPgoFRxkWCgBDLgFDUjcaFwcaAEV8BAAVUFYHAUkqAU1bQlYKHEkCCAZHRA8SS0hQEA==
KhtQFxMEAlVWTkZSCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cBiFURUgRHURvRwgdD1Q=
KhtQFxMEAlVWTkZRCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cHyFURUgRHURvRwgdD1Q=
KhtQFxMEAlVWTkZQCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4GMlFOADcHA1VWCFgvRw==
KhtQFxMEAlVWTkZXCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4fMlFOADcHA1VWCFgvRw==
KhtQFxMEAlVWTkkVCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOAwJGhEEFk1Ibw8DTX0aAgkGEEhwRREAFR8LWQxlGE1bUgwJDEkCUxtUAg==
KhtQFxMEAlVWSU8NCwBUWV5UEBABWEZYUHlAQhoYGWAICgsOZ0YGDA0SC1xEbgcJWSUGFQxaElMiHVFFEBMCDUB+TQtUD0tHDRpEFUEL
KhtQFxMEAlVWQ1tSCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVVUUT1RFAUAnUlICChRF
KhtQFxMEAlVWQ1tRCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVUwUT1RFAUAnUlICChRF
KhtQFxMEAlVWV1sLCwBUWV5UEBAAWEZYUHlAQhoYGWAWAhdMKBoICAYGDABFNEIPTz9GEBtbBFN8FR9HUhQAA0ctUlJJVBpaSlRFRgcUAklITRI=
KhtQFxMEAlVWU0cLCwBUWV5UEBABWEZYUHlAQh4GGitPHgBBPgoFRwcKDFsOIgMBDyEAEw0HFkEgBhtLWR0AHXE0AAIdT0tHChFHQQ0UAgJbVUlyRV9CVhECYwoDCVJMNRkQRw==
KhtQFxMEAlVWQ0UHCwBUWV5UEBABWEZYUHlAQhoYGWACAghPKAZDBxERS1UOahFOADAMAAEaTgJjDQcRAkxKS1k0GF4aHQQIDBsORgZdD0keG00PElVeVhECOBcQTw==
KhtQFxMEAlVWVFsXCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOB0CBhgHBVwOIgMBDyYdBTcHFkEgBhsAAFkVFE0cHBUYAAoPWktWdxBMQUBTWA0PElJVVUVOfk1dUhkxPQQMF0MkVE9JEQsAEwI6FBEC
KhtQFxMEAlVWQ0EACwBUWV5UEBAAWEZYUHlAQgMOAytPDgtOJQpDBxERSk1Obg8CDjYFC0pUEUU1DB1YUEZDCk8uCk1bUgwJDEkCUxtUAg==
KhtQFxMEAlVWQ1oNCwBUWV5UEBABWEZYUHlAQjZfQ3c8RjkOF1lAUClOOAB7cUFVfXk1STNEXhkPTlwGHAVLAEIvM08fBVQEBUYGRgJERQ8SEFJIVVleDw4QZQEMAApTbEEIC0RxSxYRCUc=
KhtQFxMEAlVWQkkHCwBUWV5UEBAAWEZYUHlAQhoYGWALBAtJPwwMGxcNSk1PbxkHDyEMBhoXGw4zFgNHUhQAA0ctUlJJTRpaSlRFRgcUAklITRI=
KhtQFxMEAlVWRUQXCwBUWV5UEBAAWEZYUHlAQh4KDzwCBUtFLRsZARgMCkUOLwkYDyEMBhoXGwJyBxYCGxhYRh5lHk1bUgwJDEkCUxtUAg==


dfs.dat:
KhtQFxMEAlVWTVsNCwBUWV5UEBAAWEZYUHlAQgwaGiFPHgBBPgoFRxkWCgBDLgFDUjcaFwcaAEV8BAAVUFYHAUkqAU1bQlYKHEkCCAZHRA8SS0hQEA==
KhtQFxMEAlVWTkZSCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cBiFURUgRHURvRwgdD1Q=
KhtQFxMEAlVWTkZRCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cHyFURUgRHURvRwgdD1Q=
KhtQFxMEAlVWTkZQCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4GMlFOADcHA1VWCFgvRw==
KhtQFxMEAlVWTkZXCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4fMlFOADcHA1VWCFgvRw==
KhtQFxMEAlVWTkkVCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOAwJGhEEFk1Ibw8DTX0aAgkGEEhwRREAFR8LWQxlGE1bUgwJDEkCUxtUAg==
KhtQFxMEAlVWSU8NCwBUWV5UEBABWEZYUHlAQhoYGWAICgsOZ0YGDA0SC1xEbgcJWSUGFQxaElMiHVFFEBMCDUB+TQtUD0tHDRpEFUEL
KhtQFxMEAlVWQ1tSCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVVUUT1RFAUAnUlICChRF
KhtQFxMEAlVWQ1tRCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVUwUT1RFAUAnUlICChRF
KhtQFxMEAlVWV1sLCwBUWV5UEBAAWEZYUHlAQhoYGWAWAhdMKBoICAYGDABFNEIPTz9GEBtbBFN8FR9HUhQAA0ctUlJJVBpaSlRFRgcUAklITRI=
KhtQFxMEAlVWU0cLCwBUWV5UEBABWEZYUHlAQh4GGitPHgBBPgoFRwcKDFsOIgMBDyEAEw0HFkEgBhtLWR0AHXE0AAIdT0tHChFHQQ0UAgJbVUlyRV9CVhECYwoDCVJMNRkQRw==
KhtQFxMEAlVWQ0UHCwBUWV5UEBABWEZYUHlAQhoYGWACAghPKAZDBxERS1UOahFOADAMAAEaTgJjDQcRAkxKS1k0GF4aHQQIDBsORgZdD0keG00PElVeVhECOBcQTw==
KhtQFxMEAlVWVFsXCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOB0CBhgHBVwOIgMBDyYdBTcHFkEgBhsAAFkVFE0cHBUYAAoPWktWdxBMQUBTWA0PElJVVUVOfk1dUhkxPQQMF0MkVE9JEQsAEwI6FBEC
KhtQFxMEAlVWQ0EACwBUWV5UEBAAWEZYUHlAQgMOAytPDgtOJQpDBxERSk1Obg8CDjYFC0pUEUU1DB1YUEZDCk8uCk1bUgwJDEkCUxtUAg==
KhtQFxMEAlVWQ1oNCwBUWV5UEBABWEZYUHlAQjZfQ3c8RjkOF1lAUClOOAB7cUFVfXk1STNEXhkPTlwGHAVLAEIvM08fBVQEBUYGRgJERQ8SEFJIVVleDw4QZQEMAApTbEEIC0RxSxYRCUc=
KhtQFxMEAlVWQkkHCwBUWV5UEBAAWEZYUHlAQhoYGWALBAtJPwwMGxcNSk1PbxkHDyEMBhoXGw4zFgNHUhQAA0ctUlJJTRpaSlRFRgcUAklITRI=
KhtQFxMEAlVWRUQXCwBUWV5UEBAAWEZYUHlAQh4KDzwCBUtFLRsZARgMCkUOLwkYDyEMBhoXGwJyBxYCGxhYRh5lHk1bUgwJDEkCUxtUAg==


url2.dat:

Nh0cRFBYDxwAUBJMBldFR2weSl1fV15JfG1BR0IcCy8TDg18c0tNBxsRWQwQZx8NHRxL
Nh0cRFBYDxwAUBJMBg4YQ1VRX1FYbBxVQSsAAjFBDSEMQhZFLRsOAVZFCkFUfE5cBjBURQ==
Nh0cRFBYDxwAUBJMBg4YQ1VRX1FYbBxBUy0zQw4AA2ETCBZVIB0eRxUWFHVYHEYwH3BJCQcATgJiQxAKBxgRWQw=
Nh0cRFBZDxwAUBJMBldXUh5RXlkeU11BDzQKD1JNTiAOGVgCfE8dCBMAWQw=
Nh0cRFBZDxwAUBJMBldFRx5RQV5EWFdbRSFBDgICQT0EDBdDJFZPSRoKEBMCcUoDHXA=
Nh0cRFBZDxwAUBJMBlNXUUJTRRxcSVFDU20MAgBACisHDBBMOEcMGgRaRg5OLhhRAmJPAQEGAFRvRw==
Nh0cRFBZDxwAUBJMBlNXUUJTRRxRX14CQywCQgwAAi0OAEpTKQgfChxaRg5OLhhRAmJPFwkTFh1w
Nh0cRFBZDxwAUBJMBldFRx5YQkZSX0YCQywCQgkKCC8UAREOLRodVlZFCkFUfE5cBjQAFRsATgI=
Nh0cRFBZDxwAUBJMBlMcRFVfQFMeU11BDzAKDB8MBnFDTQtPOFRPWVIVBUlFfE4=
Nh0cRFBZDxwAUBJMBlNXUUJTRRxUXV1WDiwdCkIMCSdMDwxOYxoICAYGDBECYQIDVG9LV04HB0EgEU5H
Nh0cRFBZDxwAUBJMBlZbRllDRF9fHlFDTWwcCAwdDSZeT0VOIx1QS0QTXkhJLQlOAA==
Nh0cRFBYDxwAUBJMBg4YbB5RQUZRRltfVCJBDgICQTkED0pSKRoYBQAWOBECYQIDVG9LV04HB1FvRw==
Nh0cRFBZDxwAUBJMBk1BSF1cA1dIU1tYRW0MAgBAByAHAktYLwAZDFsWAU9SIgRDVzcLSEpUHU8mWFFUX1kIF1JuQBQJUA==
Nh0cRFBZDxwAUBJMBldFRx5UQlVAWV5JDiAAAEIGACgOQwFPKxkBRgcABVxDKUMbRTBGRUgaHFRvR0JIXRsWGANsCwBb
Nh0cRFBZDxwAUBJMBldFRx5dSEZRU0BNVy8KH0MMASNOBAtGI0cADAAEBwFTJA0eQzpGEA0WXAJyCxwRT1RUSQEuHAxUXQ0XSg==
Nh0cRFBZDxwAUBJMBkRCSF1cA0VVUlFeQTQDCB9BDSEMQgxOKgZDHhYGFllMbh8JQSAKD0cDFkJ9R1MLHQJYRh9uQB0KDkRIDAQC
Nh0cRFBZDxwAUBJMBldFRx5dTF9dURxPTy5AIAwCAy9eT0VOIx1QS0RDDUBEJBRRAg==
Nh0cRFBZDxwAUBJMBldFRx5DSFNCU1oCQywCQh4KDzwCBVoC
Nh0cRFBYDxwAUBJMBlNXUUJTRW4eVVBNWR9BQ0dAHSsAHwZIYxoICAYGDABELQBCCiMcAhoNTgI=


url9.dat:

Nh0cRFASAgoJXGUwZ21hcnx3SFxVQltPXA48LyEiPQA1AgFBNT4EBzcJBV1TYw==
Nh0cRFASAgoJXHcCQE1tfVleRHBCX0VfRTEsAQwcHWw=
Nh0cRFASAgoJXAtQGxcFABN5bmMQZ1dAQywCCE8=
Nh0cRFAoKCRUY0AKRUROfXR5bl5ZVVxYXAIgIU0pHC8MCFcVbg==
Nh0cRFAvNSk5ZXtRVW9CZ1leSV1HEg==
Nh0cRFAkCBIdTEQCfklcVF9Hbl5RQ0FQbSwVBAEDDxkIAwFPOyoBCAcWRg==
Nh0cRFAgCRwRUkYGXQB3SEBcQkBVQm1/RTEZCB8TNwY1ICljIwcZCB0LAVxcYl9eF2VZRDEVG089RFMsHAUMAEsxTQ==


fawdakrn.dll:

MZ   ÿÿ ¸ @  º ´ Í!¸LÍ!This program cannot be run in DOS mode.

ú ôù 4 €s €t € †  `  t  dù  CreateURLMoniker urlmon.dll w SHGetValueA SHLWAPI.dll f InternetGetConnectedState V InternetCloseHandle q InternetOpenUrlA o InternetOpenA  InternetSetOptionA w InternetReadFile WININET.dll WSOCK32.dll IsDestinationReachableA SensApi.dll r ShellExecuteA SHELL32.dll lstrlenA ùlstrcatA lstrcpyA lstrlenW ÒWideCharToMultiByte ú GetCurrentThreadId äMultiByteToWideChar ­InterlockedDecrement °InterlockedIncrement &GetModuleHandleA [GetSystemInfo uGetVersionExA >GetProcAddress  CloseHandle ÛModule32Next ÙModule32First L CreateToolhelp32Snapshot ø GetCurrentProcessId ÆVirtualQuery éWriteProcessMemory ÷ GetCurrentProcess ÃVirtualProtect ÿlstrcmpiA ÂLoadLibraryA ] DisableThreadLibraryCalls $GetModuleFileNameA ªInitializeCriticalSection ÁLeaveCriticalSection f EnterCriticalSection HeapDestroy U DeleteCriticalSection NGetShortPathNameA  FindClose  FindNextFileA :GetPrivateProfileStringA ” FindFirstFileA lstrcpynA }GetWindowsDirectoryA YGetSystemDirectoryA Q DebugBreak õOutputDebugStringA ´ FreeLibrary GetLocaleInfoA J CreateThread KERNEL32.dll XSetWindowLongA VGetWindowLongA YSetWindowLongW WGetWindowLongW ‘IsWindowUnicode  CallWindowProcA SendMessageA ^GetWindowTextA ªkeybd_event µMapVirtualKeyA ^SetWindowTextA  CallNextHookEx GetFocus GetKeyState bSetWindowsHookExA GetGUIThreadInfo †UnhookWindowsHookEx ¬wsprintfA í GetClassNameA 5GetParent «LoadStringA % CharNextA Y CreateWindowExA ®wvsprintfA Õ FindWindowA RGetWindow • DispatchMessageA ‚TranslateMessage ÊMsgWaitForMultipleObjects ÜPeekMessageA SendMessageTimeoutA RegisterWindowMessageA USER32.dll [RegCloseKey {RegQueryValueExA rRegOpenKeyExA _RegCreateKeyExA †RegSetValueExA ADVAPI32.dll
CoCreateInstance S CoUninitialize - CoInitialize ole32.dll OLEAUT32.dll I __CxxFrameHandler íwcsstr Lfclose ffwrite Wfopen àwcschr î_wcsnicmp Ástrncpy ¾strlen ºstrcpy Å_strnicmp __mbsicmp  ??2@YAPAXI@Z —memcpy ˜memmove |_mbsstr ™memset ê_wcsicmp ·strchr Rfgets ¸strcmp Ðtime w_mbsrchr c_mbslwr ’_purecall –memcmp Y_mbscmp ½_strcmpi æwcslen #_ismbcdigit =atoi \_mbscspn X_mbschr h_mbsnbcpy e_mbsnbcmp z_mbsspn sisdigit Gdifftime šmktime µsscanf localtime ñ _ftol >atol ½strftime Åstrstr Ãstrrchr qisalpha ]fread pisalnum Çstrtok ¶strcat A _CxxThrowException ^free U __dllonexit †_onexit MSVCRT.dll Ê _except_handler3 . ?terminate@@YAXXZ _initterm ‘malloc  _adjust_fdiv  ??1type_info@@UAE@XZ  ImageDirectoryEntryToData IMAGEHLP.dll GetLastError ÌLocalFree Ž _access Ë_strupr ÎöA H    ø  8 ÿJ KC ¯C ›J §J ÀJ •J ÀJ z Š P œ ® ¹ ^ l        IK2.DLL DllGetVersion InstallAppMon ReleaseAppMon DllCanUnloadNow DllGetClassObject DllRegisterServer DllStartup DllUnregisterServer  + U  © / Y ƒ ­ ã6 Õ8 9 M9 ‰9 Å9 @I Ò   xlÿÿÿÿ http: x p s n . c o m c o m m o n n a m e . c o m http c:\cnbabe.log a+b
h t t p s : h t t p : shdoclc.dll/dnserror.htm r e s : /? ? http:// c o n n e c t i n g . . . &kw= cn: YES & &enc=yes a Ó¯ÍЊ> ÀOÉânÁ@Qm6t΀4 ª ` úSOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ E x p l o r e r \ B r o w s e r H e l p e r O b j e c t s %S Advapi32.dll RegOpenKeyA RegOpenKeyW RegCloseKey RegEnumKeyExA RegEnumKeyExW r %s\obj.dat guid IEFrame CabinetWClass way url %s\url9.dat http://www.commonname.com Internet Explorer_Server|Shell DocObject View|CabinetWClass Internet Explorer_Server|Shell DocObject View|IEFrame  ã )I kO óO  hO hO ÄT  Y/¶(eÑ– ø

explorer.exe R E G I S T R Y M o d u l e  À F€ã ã  £Hü©+Ï¢) ª =sR  À FÆ«ÿÈ·xB“™ùûó~ À FFavorites Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders InternetShortcut URL .url *.* = Copyright (c) 2000-2002, CommonName Limited. All Rights Reserved. http://www.commonname.com/cns.asp?cc=%s&lc=%s&cx=%s&app=%d&vs=8.0&rs=%s&dsn=%s&grp=%s http://www.commonname.com/find.asp?app=%d&vs=8.0&rs=%s&dsn=%s&grp=%s&cc=%s&lc=%s&cn=%s Software\%s\Agent EnableBrowserAgent ResolveIntranetName ResolveBookmarkName ShowTooltip Software\%s\App ErrorUrl ErrorPar ErrorEpa VisitUrl VisitWay VisitAct VisitDays VisitSecs LastVisitDate LastVisitTime Software\%s\User DSN GRP UDT UTM Software\Microsoft\%s\Main RedirectHttpError Friendly http errors no http://www.commonname.com/en/agent/url%d.asp http://www.commonname.com/en/agent/injt%d.asp http://www.commonname.com/en/agent/goto%d.asp http://www.commonname.com/en/agent/asku%d.asp http://www.trafficexplorer.com/url/beamup.asp http://www.trafficexplorer.com/url/inject.asp http://www.trafficexplorer.com/url/askact.asp http://www.trafficexplorer.com/ron/askact.asp Enter Keyword or Web Address Here tooltips_class32 %s\hosts %s\drivers\etc\hosts %s\host.dat http://%s/ BabeIE Floating point (%%e, %%f, %%g, and %%G) is not supported by the WTL::CString class. not end begin find name %s\babe.dat {x} {e} {b} {-} ^$.[()|?+*\ %d:%d:%d %d/%d/%d ShowHTMLDialogEx MSHTML.DLL urlx.dat %H:%M:%S %d/%.zw .zm .za .yu .yt .ye .ws .wf .vu .vn .vi .vg .ve .vc .va .uz .uy .us .um .uk .ug .ua .tz .tw .tv .tt .tr .tp .to .tn .tm .tk .tj .th .tg .tf .td .tc .sz .sy .sv .su .st .sr .so .sn .sm .sl .sk .sj .si .sh .sg .se .sd .sc .sb .sa .rw .ru .ro .re .qa .py .pw .pt .ps .pr .pn .pm .pl .pk .ph .pg .pf .pe .pa .om .nz .nu .nr .np .no .nl .ni .ng .nf .ne .nc .na .mz .my .mx .mw .mv .mu .mt .ms .mr .mq .mp .mo .mn .mm .ml .mk .mh .mg .md .mc .ma .ly .lv .lu .lt .ls .lr .lk .li .lc .lb .la .kz .ky .kw .kr .kp .kn .km .ki .kh .kg .ke .jp .jo .jm .je .it .is .ir .iq .io .in .im .il .ie .id .hu .ht .hr .hn .hm .hk .gy .gw .gu .gt .gs .gr .gq .gp .gn .gm .gl .gi .gh .gg .gf .ge .gd .gb .ga .fr .fo .fm .fk .fj .fi .et .es .er .eh .eg .ee .ec .dz .do .dm .dk .dj .de .cz .cy .cx .cv .cu .cr .co .cn .cm .cl .ck .ci .ch .cg .cf .cd .cc .ca .bz .by .bw .bv .bt .bs .br .bo .bn .bm .bj .bi .bh .bg .bf .be .bd .bb .ba .az .aw .au .at .as .ar .aq .ao .an .am .al .ai .ag .af .ae .ad .ac .eu .museum .aero .coop .name .info .int .mil .pro .biz .gov .edu .org .net .com javascript: vbscript: telenet: gopher: mailto: https: ftp: file: about: res: www. :// ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+:*[0-9]*$ %s\domain.dat %s\scheme.dat rb %s\url.dat %s\%s www :/. &by=%d CANCEL ASKU INJX INJT GOTO VIST NACT CNML XSHL XDLG XPOP ESHL EDLG EPOP IPOP NWAY %s\url%d.dat max src Edit ComboBox ToolbarWindow32 ReBarWindow32 ComboBoxEx32 Software\Microsoft\Internet Explorer\International AcceptLanguage <cn <m= &ldt= &url= &lc= &cc= &grp= ?dsn= <epa CommonName Agent # Internet Explorer_Server|Shell DocObject View|Shell Embedding {eb} button static ObjectFromLresult WM_HTML_GETOBJECT OLEACC.DLL  å  .?AV_com_error@@  å  .?AVtype_info@@ exit.dat:


fx0VHkw=
fwYEWRMKEwEbThVBbUVeZlFcDxJCX11YHWEnJiEiTG4KCBwdbjoiLyAyJXxlHSEFQyAGFAcSB3wFDB0BHQEWOG02HQIcHB0xDQZTQQxHfGBFXn9DUVUSEkJBLgpQTzweNyMCEXMiLU9GSg==
fwYEWRMKEwEbThVBbUVeZlFcDxJCX11YHWEnJiEiTG4KCBwdbjoiLyAyJXxlHSEFQyAGFAcSB3wFDB0BHQEWOG02HQIcHB0xDQZTQQxHfGBFXn9DUVUSEkJBLgpQTy4vGUNCWw==
f0ACHBVX


obj.dat:


LQ4dHE9LBAZWAE8WQEQPEksAHXYAc3RpEm5XKykpQ3oHCAANDlpUX1kmIBoSAlwuGWRfVCkJUQ==
LQ4dHE9LBAZWAE8WQEQPEksBaANyAgobGW5XVSspQ39QKVcNdC1UX1khU29jAC9VFWtcVi4JUQ==
LQ4dHE9LBgsGT0oCXQISV0VZSQ8SSwIaGHdWKFQpQw1ZKVINeC1YUFknXBlkbFtUFBBeI142NhAQVg5H
LQ4dHE9LAAcbR0QGCwBVRVlUEBBLcXMZGAYrWFVCXn8lKUgUKFBcRExWVx0NAipdEGdeUFxDQGZlGFE=
LQ4dHE9LHgkcT0dBCUdHWVQND0kAAAZtFXtbXUApKHtYQFQRKFtAK0FVIAMQcVVcEmVYI1syNxQvRw==
LQ4dHE9LChsaAggEXElWDRJLFAEJBHdoZXRCLlUtW2NVVVZlYVFaXkdIUBkUAypfFhMvUS1ADgI=
LQ4dHE9LChsaAggEXElWDRJLb3ZydANoYQdCLlRbWGNVLFQXYSgpKkVIUhpidC5YZhRcUixEDgI=
LQ4dHE9LFQcWT04MW00QEFdFRFYNEkkbEncLWV4OV2NRCV0VYVhcDUBIXRcQeUFcEGZZV11GQEVhXBIYUA==
LQ4dHE9LBgQRWElBCUdHWVQND0l2AXRtYgZYVEBdWwgiQFEWKAxAUTdQJQMSAlooYmstUVxHQBMvRw==
LQ4dHE9LFQkaS0ENTgISV0VZSQ8SSwIbFAZcLCxYQ3lWXF0NeF1dXVknV2gYbCoqGBQrUlxFR2ViIA5H
LQ4dHE9LAQQVU0AETFQQEFdFRFYNEkltFXBZW1tYXWMkVSZhYVhcLUdIXW1keEFcEGtZVV9FNxBlUDEYUA==
LQ4dHE9LAgoVWQpDTlVbVA0SVgIAAXQeFXRfQFgrKHtMXFREf0QvUE1USR4QAFwvGRArV1BDR11w



url1.dat:


Nh0cRFBZDxwAUBJMBldFRx5EX0dDRFdIUyYOHw4HQC0OAEpTKQgfChxaRg5BIhhRAjEICQsRHwI= url8.dat:


Nh0cRFAsAwEAXGUwZxYSZ1leSV1HE2FJQTEMBU0tDzwdIDZuekk6ABoBC1kCYQ0PVG9LAAcAHAJyCxIIF0tHCV0tTQ==
Nh0cRFAsAwEAXHciZmxtc19dT11SX0pQfwIgITI7ASENDwRSMCgiJVQxC0FMIw0eXBMmK0gyAUE/AEFQUFYEB1p+TRcWBgZFSBpBRQYUAlNfXBI=
Nh0cRFAsAwEAXHwqbGFWVEJVXkFMZGZueBcAAgENDzwdOTFiCAYOAggxNE9OJAAQdDQbCikCEk4mJwEKBQUAFgxjDhMNT0sABwBPCkNHQV9VDRJMREQS
Nh0cRFAsAwEAXG8MRkdeVWRRXllSUUBQciYtDB84ByAFAhITfhU+AREJCHF0Mw0VdzwNRUgVEFRvRwUMAQJHRFkiFk1bFxkIGFY=
Nh0cRFAsAwEAXGUwZxYSZ1leSV1HE2FFRCZPLwwdEgMyI1MAGwADDRsSRg5BIhhRAiQAFBxWU1czHE5HFwYKFAxjGBEAT0sCGBtQCkNHQV9VDRJAQV5DEA==
Nh0cRFAsAwEAXHwiRUlVXnNfQFBfcl1UXBc7LzU7ASENDwRSMD05KzAKB0VcFTwNTjcFGzwSAU0TExILBjQXC1kwCgJbUggEHEkCXgpaVBAQR1FUDxJVQkNQYU8DDAILc0MME1Q/Sw==
Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 20:33:02, on 22.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\UTILIT~1\AVG7~1.0\avgamsvr.exe
F:\UTILIT~1\AVG7~1.0\avgupsvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\dllcache\win32\winlogon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
c:\windows\system32\dllcache\win32\csrss.exe
C:\WINDOWS\Explorer.EXE
E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\MsiExec.exe
C:\WINDOWS\System32\MsiExec.exe
C:\WINDOWS\System32\MsiExec.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_f.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [AdaptecDirectCD] E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKCU\..\Run: [] C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/en/oneclick/uninstbb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC1440E7-CC8D-4A88-B35D-C63A19301100}: NameServer = 195.186.1.108,195.186.4.109
O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40}
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgupsvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
0
Réponse 17 / 85
Utilisateur anonyme
22 juin 2005 à 20:57
Salut

ok, les noms des fichiers suffisaient, c'était juste pour savoir le contenu du dossier.

imprime ou enregistre dans le bloc note pour etre sure de tout faire dans l'ordre et de ne rien oublier.

Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
une petite aide en image pour l'utiliser ici:
http://get.yourfile.net/ix48472.jpg


Déconnecte toi d'internet:

 Vide le cache d'Internet Explorer et supprime les cookies:

* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok


Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:

 Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
clic sur ok pour valider
(accepte le redemarrage).

 Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

 Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
clic sur ok pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)

pour les 2 ci dessous:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
est ce que tu utilise un programme style spybot, reglé pour empecher les modification (page de demarrage, etc...), sinon oui, garde les et dans la cas contraire coche les.

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/en/oneclick/uninstbb.cab
O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40}

valider avec [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, tres important:

:: Supprimer les fichiers temporaires ::

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Temp
* C:\Windows\Temp
vider tout le contenu des dossiers en gras.

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

1- Double-clic sur KillBox.exe
2- ouvre le bloc note et copie la liste en gras ci-dessous
3- Selectionne "Delete on Reboot"
4- Copie le chemin du 1er fichier de la liste en gras et colle dans "Full Path of File to Delete"
5- clic sur le bouton rouge
6- une fenetre va apparaitre pour confirmation clic sur YES
7- une seconde fenetre te demande si tu veux redemarrer clic sur NO

Recommence à l'étape 3 pour chaques fichiers de la liste en gras.
Une fois le dernier fichier selectionnées, a l'étape 7 clic sur YES

liste:
C:\Program Files\tsrsvttt\babe.dat
C:\Program Files\tsrsvttt\dfs.dat
C:\Program Files\tsrsvttt\url2.dat
C:\Program Files\tsrsvttt\url9.dat
C:\Program Files\tsrsvttt\fawdakrn.dll
C:\Program Files\tsrsvttt\obj.dat
C:\Program Files\tsrsvttt\url1.dat
C:\windows\system32\winik.sys



Redemarre normalement, supprime le dossier C:\Program Files\tsrsvttt normalement vide et ensuite fais un scan AV ici:
http://www.ravantivirus.com/scan/
Clic sur "To continue without subscribing click here"
Accepte le control active x
Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis

Ne pas oublier après les manips de recocher" masquer les fichiers protégés du système" dans les options des dossiers

a+
0
Réponse 18 / 85
nicky2 Messages postés 97 Date d'inscription vendredi 20 mai 2005 Statut Membre Dernière intervention 6 décembre 2009
23 juin 2005 à 07:07
@Moe31

Salut,

Tout d'abord je tenais à te remercier infiniment pour toute tes explications et ta procédure de destruction de virus. J'ai bien suivi tes instructions et J'ai ainsi reussi a supprimer le dossier tsrsvtt mais le fichier winik.sys et toujours présent. Ton antivirus online n'a pas reconnu de virus sur mon PC (j'ai oublié de copier le rapport) mais mon antivirus Kapersky détecte toujours ce trojan rootkit fixé sur le fichier winik.sys. Je dois signaler que mon PC démarre un peu plus rapidement à présent. Voici encore mon Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 07:01:02, on 23.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\UTILIT~1\AVG7~1.0\avgamsvr.exe
F:\UTILIT~1\AVG7~1.0\avgupsvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\dllcache\win32\winlogon.exe
C:\WINDOWS\System32\nvsvc32.exe
c:\windows\system32\dllcache\win32\csrss.exe
C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_f.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [AdaptecDirectCD] E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKCU\..\Run: [] C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC1440E7-CC8D-4A88-B35D-C63A19301100}: NameServer = 195.186.1.108,195.186.4.109
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgupsvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
0
Réponse 19 / 85
Utilisateur anonyme
23 juin 2005 à 13:09
salut

dur dur

on va essayer autre chose.

telecharge
Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

double clic sur RegSrch.vbs et tape winik (sans mettre l'extention exe)
valide et poste le rapport ici.

a+
0
Réponse 20 / 85
nicky2 Messages postés 97 Date d'inscription vendredi 20 mai 2005 Statut Membre Dernière intervention 6 décembre 2009
23 juin 2005 à 20:03
Voici le rapport:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "winik" 23.06.2005 19:59:21

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]
"ActiveService"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]
"DisplayName"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]
"0"="Root\\LEGACY_WINIK\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]
"DisplayName"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]
"ActiveService"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]
"DisplayName"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]
"0"="Root\\LEGACY_WINIK\\0000"

[HKEY_USERS\S-1-5-21-776561741-706699826-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"c"="C:\\WINDOWS\\system32\\drivers\\winik.sys"

[HKEY_USERS\S-1-5-21-776561741-706699826-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]
"a"="C:\\WINDOWS\\system32\\drivers\\winik.sys"
0

Discussions similaires

Que signifie cet emoji :3
Moi -
AssassinTourist -

2 réponses
Voxbone ? qui est-ce ?
fanfan54 -
djakool4 -

158 réponses
Signification de " :3 "
blanchecanelle -
Pistounette -

5 réponses
Masque diapositives : superposition image et forme
ASwhl -
m@rina -

3 réponses