Impossible de supprimer 3 trojans

Question

Bonjour,

J'ai 3 virus sous Windows XP Pro que mon antivirus Kapersky (ainsi que d'autres tel que AVG..) reconnaissent mais n'arrive pas à supprimer. Il s'agit de trojan de type Win32.commonName.a et Win32.CommonName.b qui se sont logés sous c:\program Files\tsrsvttt\fawDakrn.exe et NrKAdwaf.exe. Le troisième trojan
du type rootkit.win32.agent.q est logé sous c:\windows\system32\winik.sys.
En allant sous les fichiers infectés il m'est impossible de les supprimer.
Quelqu'un a la solution à ce type de malware sans devoir forcément formater tout le disque

Scanning en mode sans echec et restauration désactivée n'ont rien donné de plus.

Merci par avance

Nicky

Afficher la suite

Utilisateur anonyme · Answer

salut redemare en mode sans echec ensuite a l'aide de l'explorer supprime les fichier infecté ou sinon a l'aide de la commande demarrer/recherché tape :fawDakrn.exeNrKAdwaf.exewinik.sys tu les supprime et tu vide ta corbeillesi t'arrive pas a les supprimé utilise The KILL BOX c 'est un outil tres performant .@+++++

nicky2 · Answer

J' ai réessayer en mode sans échec de supprimer les programmes infectés mais sans succès ("accès refusé", je suppose qu'ils sont chargé dès le démarrage). Je vais encore essayé Killbox. Autrement, le cas échéant, y a t-il d'autres options ? (peut être par la base de registre )Merci par avance

Utilisateur anonyme · Answer

salut il existe un moyen de les supprimé avec the killbox au demarage .lance the kill box , va dans : Action/ delete on reboot/ file /add fileensuite tu ajoute les fichier infecté puis tu clike sur Action/ process and reboot@+++

nicky2 · Answer

Kapersky offre aussi cette option de supression au prochain demarrage mais cela ne donne rien. Je vais néanmoins essayé ce soir et je te tiens informé.Merci encore pour tes conseils

nicky2 · Answer

J' ai essayé killbox il m'a permis d'enlever 2 trojan sur 3. Il me reste toujours le trojan rootkit attaché au fichier winik.sys. J'ai bien mis l'option delete on reboot et il m'a enlever les 2 premiers sans faire de reboot , simplement en agissant sur la base de registre (je crois). Sur le 3eme virus il ne fait pas de reboot, me dit que le fichier a été annulé mais il est toujours présent. Y a t il une autre configuration a choisir ou evtl un autre programme. Je te remercie neanmoins deja pour ces conseil et ce petit programme qui est néanmoins efficace

Utilisateur anonyme · Answer

salut nicky2, jesstelecharge hijackthis:http://www.merijn.org/files/hijackthis.zip Dezippe le dans un dossier prévu a cet effet.Par exemple C:\hijacket surtout pas dans un dossier temporaire (temp)lance le puis:clic sur "do a system scan and save logfile" et pas autre choseLe bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.a+

Utilisateur anonyme · Answer

salut moe31 :-) . le fichier winik.sys a l'air coriace mais on va y'arrivé...@+++

Utilisateur anonyme · Answer

salut jess ;-)j'espere, mais je trouve pas trop d'infos sur ce fichier.on verra avec son hijack.je vais pas tarder à arreter pour ce soir... fatigué et demain boulot :-(a+

Utilisateur anonyme · Answer

oui c'est pour ca que j'ai dit qu'il est coriace parceque y'a pas bcp d'info sur ce virus .moi aussi je vais arrété la pour ce soir :-(@++++bonne nuit !!!

yeb76 · Answer

salut . as tu essayé de demarrer en mode DOS (avec une disquette de demarrage) et deleter le fichier en question ? @+Marc

nicky2 · Answer

J'ai istallé hijackthis sur le c: et fait un scan. Voici mon fichier log:Je precise que mon disque dur est partitionné et que toutes les donnees principales se trouvent sur le c: (windows, office..)Logfile of HijackThis v1.99.1Scan saved at 06:58:40, on 22.06.2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeF:\UTILIT~1\AVG7~1.0\avgamsvr.exeF:\UTILIT~1\AVG7~1.0\avgupsvc.exeC:\WINDOWS\System32\GEARSec.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exec:\windows\system32\dllcache\win32\winlogon.exeC:\WINDOWS\System32
vsvc32.exeC:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exec:\windows\system32\dllcache\win32\csrss.exeC:\WINDOWS\Explorer.EXEE:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exeC:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Nicolas\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exeC:\WINDOWS\system32\NOTEPAD.EXEC:\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_f.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.phpR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimizeO4 - HKLM\..\Run: [AdaptecDirectCD] E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exeO4 - HKCU\..\Run: [] C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exeO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/en/oneclick/uninstbb.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{EC1440E7-CC8D-4A88-B35D-C63A19301100}: NameServer = 195.186.1.108,195.186.4.109O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40}O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgupsvc.exeO23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exeO23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exeO23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

Utilisateur anonyme · Answer

salut nickyest ce que tu as toujours le dossier c:\program Files	srsvttt ?si oui, va dans tsrsvttt et donne nous le nom de tous les fichiers qui se trouvent à l'interieur.si, à l'interieur du dossier, tu trouve un fichier nommé profile.dat, tu l'ouvre avec le bloc note et tu copie et colle ici ce qu'il contient.merci.a+

nicky2 · Answer

De mémoire le dossier existe toujours mais je dois regarder si le fichier en question y est enregistré. Etant au bureau en ce moment et pas devant mon PC infecté je vais essayer de regarder à midi sinon ce soir. En attendant y-a-t-il d'autres informations qui resortent de ce log relatives à ce trojan rootkit lié au fichier winik.sys ? A+

nicky2 · Answer

Voici le contenu de mon fichier profile.dat : 	H   \ P r o g r a m   F i l e s \ t s r s v t t t \ f A w D A k R N .d l l H

Utilisateur anonyme · Answer

salut nickytu es sure que c'est  tout ?Est ce qu'il reste des fichiers dans le dossier t s r s v t t t , si oui donne nous leurs nom stp.et reposte un hijack.a+

nicky2 · Answer

Voici les autres fichiers du dossier tsrsvttt et leur contenu ainsi qu'un hijack à la fin du message: Est-ce que le probleme winik.sys se trouve dans ce dossier ou dans son dossier d'origine qui est c:\windows\system32\drivers ? babe.dat: KhtQFxMEAlVWTVsNCwBUWV5UEBAAWEZYUHlAQgwaGiFPHgBBPgoFRxkWCgBDLgFDUjcaFwcaAEV8BAAVUFYHAUkqAU1bQlYKHEkCCAZHRA8SS0hQEA== KhtQFxMEAlVWTkZSCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cBiFURUgRHURvRwgdD1Q= KhtQFxMEAlVWTkZRCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cHyFURUgRHURvRwgdD1Q= KhtQFxMEAlVWTkZQCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4GMlFOADcHA1VWCFgvRw== KhtQFxMEAlVWTkZXCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4fMlFOADcHA1VWCFgvRw== KhtQFxMEAlVWTkkVCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOAwJGhEEFk1Ibw8DTX0aAgkGEEhwRREAFR8LWQxlGE1bUgwJDEkCUxtUAg== KhtQFxMEAlVWSU8NCwBUWV5UEBABWEZYUHlAQhoYGWAICgsOZ0YGDA0SC1xEbgcJWSUGFQxaElMiHVFFEBMCDUB+TQtUD0tHDRpEFUEL KhtQFxMEAlVWQ1tSCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVVUUT1RFAUAnUlICChRF KhtQFxMEAlVWQ1tRCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVUwUT1RFAUAnUlICChRF KhtQFxMEAlVWV1sLCwBUWV5UEBAAWEZYUHlAQhoYGWAWAhdMKBoICAYGDABFNEIPTz9GEBtbBFN8FR9HUhQAA0ctUlJJVBpaSlRFRgcUAklITRI= KhtQFxMEAlVWU0cLCwBUWV5UEBABWEZYUHlAQh4GGitPHgBBPgoFRwcKDFsOIgMBDyEAEw0HFkEgBhtLWR0AHXE0AAIdT0tHChFHQQ0UAgJbVUlyRV9CVhECYwoDCVJMNRkQRw== KhtQFxMEAlVWQ0UHCwBUWV5UEBABWEZYUHlAQhoYGWACAghPKAZDBxERS1UOahFOADAMAAEaTgJjDQcRAkxKS1k0GF4aHQQIDBsORgZdD0keG00PElVeVhECOBcQTw== KhtQFxMEAlVWVFsXCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOB0CBhgHBVwOIgMBDyYdBTcHFkEgBhsAAFkVFE0cHBUYAAoPWktWdxBMQUBTWA0PElJVVUVOfk1dUhkxPQQMF0MkVE9JEQsAEwI6FBEC KhtQFxMEAlVWQ0EACwBUWV5UEBAAWEZYUHlAQgMOAytPDgtOJQpDBxERSk1Obg8CDjYFC0pUEUU1DB1YUEZDCk8uCk1bUgwJDEkCUxtUAg== KhtQFxMEAlVWQ1oNCwBUWV5UEBABWEZYUHlAQjZfQ3c8RjkOF1lAUClOOAB7cUFVfXk1STNEXhkPTlwGHAVLAEIvM08fBVQEBUYGRgJERQ8SEFJIVVleDw4QZQEMAApTbEEIC0RxSxYRCUc= KhtQFxMEAlVWQkkHCwBUWV5UEBAAWEZYUHlAQhoYGWALBAtJPwwMGxcNSk1PbxkHDyEMBhoXGw4zFgNHUhQAA0ctUlJJTRpaSlRFRgcUAklITRI= KhtQFxMEAlVWRUQXCwBUWV5UEBAAWEZYUHlAQh4KDzwCBUtFLRsZARgMCkUOLwkYDyEMBhoXGwJyBxYCGxhYRh5lHk1bUgwJDEkCUxtUAg== dfs.dat: KhtQFxMEAlVWTVsNCwBUWV5UEBAAWEZYUHlAQgwaGiFPHgBBPgoFRxkWCgBDLgFDUjcaFwcaAEV8BAAVUFYHAUkqAU1bQlYKHEkCCAZHRA8SS0hQEA== KhtQFxMEAlVWTkZSCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cBiFURUgRHURvRwgdD1Q= KhtQFxMEAlVWTkZRCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cHyFURUgRHURvRwgdD1Q= KhtQFxMEAlVWTkZQCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4GMlFOADcHA1VWCFgvRw== KhtQFxMEAlVWTkZXCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4fMlFOADcHA1VWCFgvRw== KhtQFxMEAlVWTkkVCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOAwJGhEEFk1Ibw8DTX0aAgkGEEhwRREAFR8LWQxlGE1bUgwJDEkCUxtUAg== KhtQFxMEAlVWSU8NCwBUWV5UEBABWEZYUHlAQhoYGWAICgsOZ0YGDA0SC1xEbgcJWSUGFQxaElMiHVFFEBMCDUB+TQtUD0tHDRpEFUEL KhtQFxMEAlVWQ1tSCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVVUUT1RFAUAnUlICChRF KhtQFxMEAlVWQ1tRCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVUwUT1RFAUAnUlICChRF KhtQFxMEAlVWV1sLCwBUWV5UEBAAWEZYUHlAQhoYGWAWAhdMKBoICAYGDABFNEIPTz9GEBtbBFN8FR9HUhQAA0ctUlJJVBpaSlRFRgcUAklITRI= KhtQFxMEAlVWU0cLCwBUWV5UEBABWEZYUHlAQh4GGitPHgBBPgoFRwcKDFsOIgMBDyEAEw0HFkEgBhtLWR0AHXE0AAIdT0tHChFHQQ0UAgJbVUlyRV9CVhECYwoDCVJMNRkQRw== KhtQFxMEAlVWQ0UHCwBUWV5UEBABWEZYUHlAQhoYGWACAghPKAZDBxERS1UOahFOADAMAAEaTgJjDQcRAkxKS1k0GF4aHQQIDBsORgZdD0keG00PElVeVhECOBcQTw== KhtQFxMEAlVWVFsXCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOB0CBhgHBVwOIgMBDyYdBTcHFkEgBhsAAFkVFE0cHBUYAAoPWktWdxBMQUBTWA0PElJVVUVOfk1dUhkxPQQMF0MkVE9JEQsAEwI6FBEC KhtQFxMEAlVWQ0EACwBUWV5UEBAAWEZYUHlAQgMOAytPDgtOJQpDBxERSk1Obg8CDjYFC0pUEUU1DB1YUEZDCk8uCk1bUgwJDEkCUxtUAg== KhtQFxMEAlVWQ1oNCwBUWV5UEBABWEZYUHlAQjZfQ3c8RjkOF1lAUClOOAB7cUFVfXk1STNEXhkPTlwGHAVLAEIvM08fBVQEBUYGRgJERQ8SEFJIVVleDw4QZQEMAApTbEEIC0RxSxYRCUc= KhtQFxMEAlVWQkkHCwBUWV5UEBAAWEZYUHlAQhoYGWALBAtJPwwMGxcNSk1PbxkHDyEMBhoXGw4zFgNHUhQAA0ctUlJJTRpaSlRFRgcUAklITRI= KhtQFxMEAlVWRUQXCwBUWV5UEBAAWEZYUHlAQh4KDzwCBUtFLRsZARgMCkUOLwkYDyEMBhoXGwJyBxYCGxhYRh5lHk1bUgwJDEkCUxtUAg== url2.dat: Nh0cRFBYDxwAUBJMBldFR2weSl1fV15JfG1BR0IcCy8TDg18c0tNBxsRWQwQZx8NHRxL Nh0cRFBYDxwAUBJMBg4YQ1VRX1FYbBxVQSsAAjFBDSEMQhZFLRsOAVZFCkFUfE5cBjBURQ== Nh0cRFBYDxwAUBJMBg4YQ1VRX1FYbBxBUy0zQw4AA2ETCBZVIB0eRxUWFHVYHEYwH3BJCQcATgJiQxAKBxgRWQw= Nh0cRFBZDxwAUBJMBldXUh5RXlkeU11BDzQKD1JNTiAOGVgCfE8dCBMAWQw= Nh0cRFBZDxwAUBJMBldFRx5RQV5EWFdbRSFBDgICQT0EDBdDJFZPSRoKEBMCcUoDHXA= Nh0cRFBZDxwAUBJMBlNXUUJTRRxcSVFDU20MAgBACisHDBBMOEcMGgRaRg5OLhhRAmJPAQEGAFRvRw== Nh0cRFBZDxwAUBJMBlNXUUJTRRxRX14CQywCQgwAAi0OAEpTKQgfChxaRg5OLhhRAmJPFwkTFh1w Nh0cRFBZDxwAUBJMBldFRx5YQkZSX0YCQywCQgkKCC8UAREOLRodVlZFCkFUfE5cBjQAFRsATgI= Nh0cRFBZDxwAUBJMBlMcRFVfQFMeU11BDzAKDB8MBnFDTQtPOFRPWVIVBUlFfE4= Nh0cRFBZDxwAUBJMBlNXUUJTRRxUXV1WDiwdCkIMCSdMDwxOYxoICAYGDBECYQIDVG9LV04HB0EgEU5H Nh0cRFBZDxwAUBJMBlZbRllDRF9fHlFDTWwcCAwdDSZeT0VOIx1QS0QTXkhJLQlOAA== Nh0cRFBYDxwAUBJMBg4YbB5RQUZRRltfVCJBDgICQTkED0pSKRoYBQAWOBECYQIDVG9LV04HB1FvRw== Nh0cRFBZDxwAUBJMBk1BSF1cA1dIU1tYRW0MAgBAByAHAktYLwAZDFsWAU9SIgRDVzcLSEpUHU8mWFFUX1kIF1JuQBQJUA== Nh0cRFBZDxwAUBJMBldFRx5UQlVAWV5JDiAAAEIGACgOQwFPKxkBRgcABVxDKUMbRTBGRUgaHFRvR0JIXRsWGANsCwBb Nh0cRFBZDxwAUBJMBldFRx5dSEZRU0BNVy8KH0MMASNOBAtGI0cADAAEBwFTJA0eQzpGEA0WXAJyCxwRT1RUSQEuHAxUXQ0XSg== Nh0cRFBZDxwAUBJMBkRCSF1cA0VVUlFeQTQDCB9BDSEMQgxOKgZDHhYGFllMbh8JQSAKD0cDFkJ9R1MLHQJYRh9uQB0KDkRIDAQC Nh0cRFBZDxwAUBJMBldFRx5dTF9dURxPTy5AIAwCAy9eT0VOIx1QS0RDDUBEJBRRAg== Nh0cRFBZDxwAUBJMBldFRx5DSFNCU1oCQywCQh4KDzwCBVoC Nh0cRFBYDxwAUBJMBlNXUUJTRW4eVVBNWR9BQ0dAHSsAHwZIYxoICAYGDABELQBCCiMcAhoNTgI= url9.dat: Nh0cRFASAgoJXGUwZ21hcnx3SFxVQltPXA48LyEiPQA1AgFBNT4EBzcJBV1TYw== Nh0cRFASAgoJXHcCQE1tfVleRHBCX0VfRTEsAQwcHWw= Nh0cRFASAgoJXAtQGxcFABN5bmMQZ1dAQywCCE8= Nh0cRFAoKCRUY0AKRUROfXR5bl5ZVVxYXAIgIU0pHC8MCFcVbg== Nh0cRFAvNSk5ZXtRVW9CZ1leSV1HEg== Nh0cRFAkCBIdTEQCfklcVF9Hbl5RQ0FQbSwVBAEDDxkIAwFPOyoBCAcWRg== Nh0cRFAgCRwRUkYGXQB3SEBcQkBVQm1/RTEZCB8TNwY1ICljIwcZCB0LAVxcYl9eF2VZRDEVG089RFMsHAUMAEsxTQ== fawdakrn.dll: MZ ÿÿ ¸ @ º ´ Í!¸LÍ!This program cannot be run in DOS mode. ú ôù 4 €s €t € † ` t dù CreateURLMoniker urlmon.dll w SHGetValueA SHLWAPI.dll f InternetGetConnectedState V InternetCloseHandle q InternetOpenUrlA o InternetOpenA InternetSetOptionA w InternetReadFile WININET.dll WSOCK32.dll IsDestinationReachableA SensApi.dll r ShellExecuteA SHELL32.dll lstrlenA ùlstrcatA lstrcpyA lstrlenW ÒWideCharToMultiByte ú GetCurrentThreadId äMultiByteToWideChar InterlockedDecrement °InterlockedIncrement &GetModuleHandleA [GetSystemInfo uGetVersionExA >GetProcAddress CloseHandle ÛModule32Next ÙModule32First L CreateToolhelp32Snapshot ø GetCurrentProcessId ÆVirtualQuery éWriteProcessMemory ÷ GetCurrentProcess ÃVirtualProtect ÿlstrcmpiA ÂLoadLibraryA ] DisableThreadLibraryCalls $GetModuleFileNameA ªInitializeCriticalSection ÁLeaveCriticalSection f EnterCriticalSection HeapDestroy U DeleteCriticalSection NGetShortPathNameA FindClose FindNextFileA :GetPrivateProfileStringA ” FindFirstFileA lstrcpynA }GetWindowsDirectoryA YGetSystemDirectoryA Q DebugBreak õOutputDebugStringA ´ FreeLibrary GetLocaleInfoA J CreateThread KERNEL32.dll XSetWindowLongA VGetWindowLongA YSetWindowLongW WGetWindowLongW ‘IsWindowUnicode CallWindowProcA SendMessageA ^GetWindowTextA ªkeybd_event µMapVirtualKeyA ^SetWindowTextA CallNextHookEx GetFocus GetKeyState bSetWindowsHookExA GetGUIThreadInfo †UnhookWindowsHookEx ¬wsprintfA í GetClassNameA 5GetParent «LoadStringA % CharNextA Y CreateWindowExA ®wvsprintfA Õ FindWindowA RGetWindow • DispatchMessageA ‚TranslateMessage ÊMsgWaitForMultipleObjects ÜPeekMessageA SendMessageTimeoutA RegisterWindowMessageA USER32.dll [RegCloseKey {RegQueryValueExA rRegOpenKeyExA _RegCreateKeyExA †RegSetValueExA ADVAPI32.dll CoCreateInstance S CoUninitialize - CoInitialize ole32.dll OLEAUT32.dll I __CxxFrameHandler íwcsstr Lfclose ffwrite Wfopen àwcschr î_wcsnicmp Ástrncpy ¾strlen ºstrcpy Å_strnicmp __mbsicmp ??2@YAPAXI@Z —memcpy ˜memmove |_mbsstr ™memset ê_wcsicmp ·strchr Rfgets ¸strcmp Ðtime w_mbsrchr c_mbslwr ’_purecall –memcmp Y_mbscmp ½_strcmpi æwcslen #_ismbcdigit =atoi \_mbscspn X_mbschr h_mbsnbcpy e_mbsnbcmp z_mbsspn sisdigit Gdifftime šmktime µsscanf localtime ñ _ftol >atol ½strftime Åstrstr Ãstrrchr qisalpha ]fread pisalnum Çstrtok ¶strcat A _CxxThrowException ^free U __dllonexit †_onexit MSVCRT.dll Ê _except_handler3 . ?terminate@@YAXXZ _initterm ‘malloc _adjust_fdiv ??1type_info@@UAE@XZ ImageDirectoryEntryToData IMAGEHLP.dll GetLastError ÌLocalFree Ž _access Ë_strupr ÎöA H ø 8 ÿJ KC ¯C ›J §J ÀJ •J ÀJ z Š P œ ® ¹ ^ l IK2.DLL DllGetVersion InstallAppMon ReleaseAppMon DllCanUnloadNow DllGetClassObject DllRegisterServer DllStartup DllUnregisterServer + U © / Y ƒ ã6 Õ8 9 M9 ‰9 Å9 @I ÒÂ xlÿÿÿÿ http: x p s n . c o m c o m m o n n a m e . c o m http c:\cnbabe.log a+b h t t p s : h t t p : shdoclc.dll/dnserror.htm r e s : /? ? http:// c o n n e c t i n g . . . &kw= cn: YES & &enc=yes aÓ¯ÍÐŠ> ÀOÉânÁ@Qm6tÎ€4 ª ` úSOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ E x p l o r e r \ B r o w s e r H e l p e r O b j e c t s %S Advapi32.dll RegOpenKeyA RegOpenKeyW RegCloseKey RegEnumKeyExA RegEnumKeyExW r %s\obj.dat guid IEFrame CabinetWClass way url %s\url9.dat http://www.commonname.com Internet Explorer_Server|Shell DocObject View|CabinetWClass Internet Explorer_Server|Shell DocObject View|IEFrame ã )I kO óO hO hO ÄT Y/¶(eÑ– ø explorer.exe R E G I S T R Y M o d u l e À F€ã ã £Hü©+Ï¢) ª =sR À FÆ«ÿÈ·xB“™ùûó~ À FFavorites Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders InternetShortcut URL .url *.* = Copyright (c) 2000-2002, CommonName Limited. All Rights Reserved. http://www.commonname.com/cns.asp?cc=%s&lc=%s&cx=%s&app=%d&vs=8.0&rs=%s&dsn=%s&grp=%s http://www.commonname.com/find.asp?app=%d&vs=8.0&rs=%s&dsn=%s&grp=%s&cc=%s&lc=%s&cn=%s Software\%s\Agent EnableBrowserAgent ResolveIntranetName ResolveBookmarkName ShowTooltip Software\%s\App ErrorUrl ErrorPar ErrorEpa VisitUrl VisitWay VisitAct VisitDays VisitSecs LastVisitDate LastVisitTime Software\%s\User DSN GRP UDT UTM Software\Microsoft\%s\Main RedirectHttpError Friendly http errors no http://www.commonname.com/en/agent/url%d.asp http://www.commonname.com/en/agent/injt%d.asp http://www.commonname.com/en/agent/goto%d.asp http://www.commonname.com/en/agent/asku%d.asp http://www.trafficexplorer.com/url/beamup.asp http://www.trafficexplorer.com/url/inject.asp http://www.trafficexplorer.com/url/askact.asp http://www.trafficexplorer.com/ron/askact.asp Enter Keyword or Web Address Here tooltips_class32 %s\hosts %s\drivers\etc\hosts %s\host.dat http://%s/ BabeIE Floating point (%%e, %%f, %%g, and %%G) is not supported by the WTL::CString class. not end begin find name %s\babe.dat {x} {e} {b} {-} ^$.[()|?+*\ %d:%d:%d %d/%d/%d ShowHTMLDialogEx MSHTML.DLL urlx.dat %H:%M:%S %d/%.zw .zm .za .yu .yt .ye .ws .wf .vu .vn .vi .vg .ve .vc .va .uz .uy .us .um .uk .ug .ua .tz .tw .tv .tt .tr .tp .to .tn .tm .tk .tj .th .tg .tf .td .tc .sz .sy .sv .su .st .sr .so .sn .sm .sl .sk .sj .si .sh .sg .se .sd .sc .sb .sa .rw .ru .ro .re .qa .py .pw .pt .ps .pr .pn .pm .pl .pk .ph .pg .pf .pe .pa .om .nz .nu .nr .np .no .nl .ni .ng .nf .ne .nc .na .mz .my .mx .mw .mv .mu .mt .ms .mr .mq .mp .mo .mn .mm .ml .mk .mh .mg .md .mc .ma .ly .lv .lu .lt .ls .lr .lk .li .lc .lb .la .kz .ky .kw .kr .kp .kn .km .ki .kh .kg .ke .jp .jo .jm .je .it .is .ir .iq .io .in .im .il .ie .id .hu .ht .hr .hn .hm .hk .gy .gw .gu .gt .gs .gr .gq .gp .gn .gm .gl .gi .gh .gg .gf .ge .gd .gb .ga .fr .fo .fm .fk .fj .fi .et .es .er .eh .eg .ee .ec .dz .do .dm .dk .dj .de .cz .cy .cx .cv .cu .cr .co .cn .cm .cl .ck .ci .ch .cg .cf .cd .cc .ca .bz .by .bw .bv .bt .bs .br .bo .bn .bm .bj .bi .bh .bg .bf .be .bd .bb .ba .az .aw .au .at .as .ar .aq .ao .an .am .al .ai .ag .af .ae .ad .ac .eu .museum .aero .coop .name .info .int .mil .pro .biz .gov .edu .org .net .com javascript: vbscript: telenet: gopher: mailto: https: ftp: file: about: res: www. :// ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+:*[0-9]*$ %s\domain.dat %s\scheme.dat rb %s\url.dat %s\%s www :/. &by=%d CANCEL ASKU INJX INJT GOTO VIST NACT CNML XSHL XDLG XPOP ESHL EDLG EPOP IPOP NWAY %s\url%d.dat max src Edit ComboBox ToolbarWindow32 ReBarWindow32 ComboBoxEx32 Software\Microsoft\Internet Explorer\International AcceptLanguage

Utilisateur anonyme · Answer

Salutok, les noms des fichiers suffisaient, c'était juste pour savoir le contenu du dossier.imprime ou enregistre dans le bloc note pour etre sure de tout faire dans l'ordre et de ne rien oublier.Telecharge: Pocket Killbox icihttp://www.downloads.subratam.org/KillBox.exeune petite aide en image pour l'utiliser ici:http://get.yourfile.net/ix48472.jpgDéconnecte toi d'internet: Vide le cache d'Internet Explorer et supprime les cookies:* Panneau de configuration >> Options internet >> Onglet "Général"- Clic sur [supprimer les cookies]- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"Valide avec okPour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:  Désactive la restauration systéme.Clic droit sur poste de travail > propriétés > onglet restauration système puis cocher "désactiver la restauration système".clic sur ok pour valider(accepte le redemarrage).  Redémarre en mode sans échec Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.  Choisis le mode sans échec dans les options et valide avec entrée. Rend visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher " afficher les fichiers et dossiers cachés "Décocher " masquer les extentions des fichiers dont le type est connu Décocher " masquer les fichiers protégés du système"clic sur ok pour valider-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Lance hijackthis et clic sur "do a system scan only"cocher la case au début des lignes suivantes:R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file) pour les 2 ci dessous:O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present est ce que tu utilise un programme style spybot, reglé pour empecher les modification (page de demarrage, etc...), sinon oui, garde les et dans la cas contraire coche les.O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm O16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/en/oneclick/uninstbb.cab O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40} valider avec [fix checked]-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_Ensuite, tres important::: Supprimer les fichiers temporaires ::* C:\Documents and Settings	on compte\Local Settings\Temp* C:\Documents and Settings	ous les autres comptes\Local Settings\Temp* C:\Temp* C:\Windows\Tempvider tout le contenu des dossiers en gras.:: Le contenu du dossier prefetch ::* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini* Ne pas oublier de vider la corbeille !-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_1- Double-clic sur KillBox.exe2- ouvre le bloc note et copie la liste en gras ci-dessous3- Selectionne "Delete on Reboot"4- Copie le chemin du 1er fichier de la liste en gras et colle dans "Full Path of File to Delete"5- clic sur le bouton rouge6- une fenetre va apparaitre pour confirmation clic sur YES7- une seconde fenetre te demande si tu veux redemarrer clic sur NORecommence à l'étape 3 pour chaques fichiers de la liste en gras.Une fois le dernier fichier selectionnées, a l'étape 7 clic sur YESliste:C:\Program Files	srsvttt\babe.datC:\Program Files	srsvttt\dfs.datC:\Program Files	srsvttt\url2.datC:\Program Files	srsvttt\url9.datC:\Program Files	srsvttt\fawdakrn.dllC:\Program Files	srsvttt\obj.datC:\Program Files	srsvttt\url1.datC:\windows\system32\winik.sysRedemarre normalement, supprime le dossier C:\Program Files	srsvttt normalement vide et ensuite fais un scan AV ici: http://www.ravantivirus.com/scan/ Clic sur "To continue without subscribing click here"Accepte le control active x Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC". A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis Ne pas oublier après les manips de recocher" masquer les fichiers protégés du système" dans les options des dossiers a+

nicky2 · Answer

@Moe31Salut,Tout d'abord je tenais à te remercier infiniment pour toute tes explications et ta procédure de destruction de virus. J'ai bien suivi tes instructions et J'ai ainsi reussi a supprimer le dossier tsrsvtt mais le fichier winik.sys et toujours présent. Ton antivirus online n'a pas reconnu de virus sur mon PC (j'ai oublié de copier le rapport) mais mon antivirus Kapersky détecte toujours ce trojan rootkit fixé sur le fichier winik.sys. Je dois signaler que mon PC démarre un peu plus rapidement à présent. Voici encore mon Hijack:Logfile of HijackThis v1.99.1Scan saved at 07:01:02, on 23.06.2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeF:\UTILIT~1\AVG7~1.0\avgamsvr.exeF:\UTILIT~1\AVG7~1.0\avgupsvc.exeC:\WINDOWS\System32\GEARSec.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exec:\windows\system32\dllcache\win32\winlogon.exeC:\WINDOWS\System32
vsvc32.exec:\windows\system32\dllcache\win32\csrss.exeC:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exeC:\WINDOWS\Explorer.EXEE:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exeC:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exeC:\Program Files\Internet Explorer\iexplore.exeC:\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_f.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimizeO4 - HKLM\..\Run: [AdaptecDirectCD] E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exeO4 - HKCU\..\Run: [] C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{EC1440E7-CC8D-4A88-B35D-C63A19301100}: NameServer = 195.186.1.108,195.186.4.109O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgupsvc.exeO23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exeO23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exeO23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

Utilisateur anonyme · Answer

salutdur duron va essayer autre chose.telecharge Registry Search Toolhttp://www.billsway.com/vbspage/vbsfiles/RegSrch.zipdouble clic sur RegSrch.vbs et tape winik (sans mettre l'extention exe)valide et poste le rapport ici.a+

nicky2 · Answer

Voici le rapport:REGEDIT4; RegSrch.vbs © Bill James; Registry search results for string "winik" 23.06.2005 19:59:21; NOTE: This file will be deleted when you close WordPad.; You must manually save this file to a new location if you want to refer to it again later.; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]"Service"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]"DeviceDesc"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]"ActiveService"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]"DisplayName"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Security][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]"0"="Root\LEGACY_WINIK\0000"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]"Service"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]"DeviceDesc"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]"DisplayName"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Security][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]"Service"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]"DeviceDesc"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]"ActiveService"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]"DisplayName"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Security][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]"0"="Root\LEGACY_WINIK\0000"[HKEY_USERS\S-1-5-21-776561741-706699826-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]"c"="C:\WINDOWS\system32\drivers\winik.sys"[HKEY_USERS\S-1-5-21-776561741-706699826-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]"a"="C:\WINDOWS\system32\drivers\winik.sys"

Utilisateur anonyme · Answer

alut nicky

je viens de voir dans le log que tu viens de poster, que le dossier exact ou se trouve winik.sys est C:\WINDOWS\system32\drivers\winik.sys et pas C:\WINDOWS\system32\winik.sys.
avec killbox on a rentré le mauvais chemin.

essaye en faisant ceci:

redemarre en mode sans echecs.

1/
demarrer > executer tape ou fais un copier/coller dans la boite de dialogue: (si tu tape manuellement, respecte les espaces)

sc config WinIK start= disabled

valide avec ok

2/
demarrer > executer tape ou fais un copier/coller dans la boite de dialogue:

sc stop WinIK

valide avec ok

3/
demarrer > executer tape ou fais un copier/coller dans la boite de dialogue:

sc delete WinIK

valide avec ok

ensuite lance killbox et:

- Selectionne "Delete on Reboot"
- Copie le chemin suivant: C:\WINDOWS\system32\drivers\winik.sys et colle dans "Full Path of File to Delete"
5- clic sur le bouton rouge
6- une fenetre va apparaitre pour confirmation clic sur YES
7- une seconde fenetre te demande si tu veux redemarrer clic sur YES

laisse redemarrer le pc et dis moi si il est encore présent.

a+

balltrap34 · Answer

saluttu na pas essayer de mettre linux sur ton pc par hazard

nicky2 · Answer

Merci infiniment moe31 Tu as réussi , winik.sys a disparu. Mon PC est clean. Je tiens à te remercier aussi pour tout le temps que tu as consacré à mon problème.Bonne nuitNicky

Utilisateur anonyme · Answer

salut nicky

content pour toi, vraiment.
si tu ne l'a pas dejà fais, reactive la restauration systeme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis décocher la case "désactiver la restauration système".
clic sur ok pour valider

douce nuit

moe

the_rock93 · Answer

bonjours si je peux me permet moi aussi je suis infecter par se virus esque vous pourriez m'aider sa serai gentil merci
j'ai fait aussi avec killibox est tout mode sans echec ....
moi mon fichier infecter est msdirect.sys
bon voila j'ai utiliser le logiciel comme vous l'avez dit (Registry Search Tool )voicie mon rapport ;
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "msdirect" 01/08/2005 20:51:24

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_USERS\S-1-5-21-1454471165-1637723038-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="msdirect"

[HKEY_USERS\S-1-5-21-1454471165-1637723038-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"a"="sc config msdirectx start= disabled\\1"

[HKEY_USERS\S-1-5-21-1454471165-1637723038-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"b"="sc stop msdirectx\\1"

[HKEY_USERS\S-1-5-21-1454471165-1637723038-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"c"="sc delete msdirectx\\1"

merci de m'aider

Utilisateur anonyme · Answer

salutposte un hijack pour voira+

the_rock93 · Answer

ok

Logfile of HijackThis v1.99.1
Scan saved at 00:06:33, on 02/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\hafiane\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [WinConfig9324] wincfgkop9.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\RunServices: [WinConfig9324] wincfgkop9.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: MSN Messenger 7.0.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

the_rock93 · Answer

alors?

Cedric RICARD · Answer

Pour info, j'ai eu beau suivre à la lettre toutes les instructions données ici, les refaire plusieurs fois, etc... je n'ai jamais réussi à supprimer winik.sys

Par contre, j'ai une méthode radicale (qui ne fonctionne que pour les fichiers situés dans le répertoire C:\Windows) :
démarrer avec la console de récup (depuis le CD d'installation de Windows), aller dans le bon répertoire, et taper "del winik.sys"

Attention, je pense que toutes les étapes décrites ci dessus sont indispensables pour permettre une éradication définitive...

elodi · Answer

salut tout le monde.j'ai moi aussi le meme probleme de trojan que nicky2 rootkit.win32.agent.q dans c:\windows\system32\drivers\winik.sys .j'ai fai tou ce kil ya d'ecrit et je n'arrive pas a m'en debarasser.quand je suis en mode sans echec dans killbox et que j'ai appuyer sur le bouton rouge et cliqué 2fois sur oui il s'affiche:
Pending file rename operations registry data has been removed by external process.
quelqu'un peut il m'aider s'il vous plait.je pete un plomb avec ce cheval de troie.

Utilisateur anonyme · Answer

salu elodi

telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijack
et surtout pas dans un dossier temporaire (temp)
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
Si tu as du mal, regarde ceci:
http://pageperso.aol.fr/balltrap34/demohijack.htm

a+

elodi · Answer

ca yé c faiLogfile of HijackThis v1.99.1Scan saved at 14:04:49, on 21/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\WINDOWS\ALCWZRD.EXEC:\WINDOWS\ALCMTR.EXEC:\ATI-CPanel\atiptaxx.exeC:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\HPZipm12.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Elo\Mes documents\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dllO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [REVJTc1x] C:\PROGRA~1\wrwoxrwr\YcQDFAgM.exeO4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimizeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeO4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

elodi · Answer

quelqu'un peut il m'aider avant que  je parte??

Utilisateur anonyme · Answer

salutregarde dans c:\program files si tu as un dossier avec un nom completement aleatoire du genre C:\Program Files	srsvttt

elodi · Answer

ben g ca:wrwoxrwr

Utilisateur anonyme · Answer

donne moi le nom exact de tous les fichiers qui se trouvent à l'interieursi tu trouve le fichier profile.dat, ouvre le avec le bloc note et copie et colle le contenu icia+

balltrap34 · Answer

doctor s profil data lol

Utilisateur anonyme · Answer

lolla 1ere fois il m'a fallu + de 100 post avant de trouver cette manip sur un forum

balltrap34 · Answer

elle est efficace!

Utilisateur anonyme · Answer

ben j'espere, je crois que cette saleté est detecté comme adware-commoname a ou b celon les av

balltrap34 · Answer

oui jest vu cela sur l autre post ou tu as pris la suite je crois

elodi · Answer

bon jcroi ke j'ai fai une boulette:comme j'avai la flemme d'attendre kon me reponde et ke je savai pa si on allai me repondre j'ai fai ca a ma facon: g renommé le dossier et je l'ai supprimé.pardon.j'aurais du attendre mais jsuis une fille dc jsuis pas patiente c bien connu.lol

balltrap34 · Answer

apres un demarrage il vas peut etre se recreer je c est pas se qu en pense moe

elodi · Answer

g deja redemarrer et il est po la

Utilisateur anonyme · Answer

faut voir, redemarre le pc et reposte un hijackverifie si le dossier c'est recrée

balltrap34 · Answer

lol cela vas pas etre evident peut etre lui faire faire la solution de l autre post cela le bloquerat en partie si tous les fichiers ne sont pas les meme

elodi · Answer

Logfile of HijackThis v1.99.1Scan saved at 19:05:33, on 21/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\WINDOWS\ALCWZRD.EXEC:\WINDOWS\ALCMTR.EXEC:\ATI-CPanel\atiptaxx.exeC:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeC:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\HPZipm12.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\wuauclt.exeC:\Documents and Settings\Elo\Mes documents\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dllO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [REVJTc1x] C:\PROGRA~1\wrwoxrwr\YcQDFAgM.exeO4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimizeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeO4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

est ce que le dossier est revenu ?sous un autre nom peut etre ?

elodi · Answer

g pa l'impression.g un dossier nommé CONNEXANT jsai pa ce ke c mai ca doi pa etre ca.

elodi · Answer

g yahoo aussi comme dossier alors ke g pa du tout yahoo

jean38 · Answer

c'est pas çà ??O4 - HKLM\..\Run: [REVJTc1x] C:\PROGRA~1\wrwoxrwr\YcQDFAgM.exe

Utilisateur anonyme · Answer

telecharge ceci:http://get.yourfile.net/ht70175.zipdezippe le (clic droit dessus > extraire tout)lance winik.bat et poste le rapporta+

elodi · Answer

et wex tech c koi?et my way?par contre dans programs files/fichiers communs  j'ai: ffbbtpqa et ya ca dedans: dqpfmelr et encore dedans: smoaappnu.aqapuis aussi dzns ffbbtpqa il ya frmfotdcmd et dedans qcorauqbbe.saddans programs files/fichiers communs j'ai LHSPF contenant: LingTech contenant 3fichiers dll 1 rul et 1 mor

elodi · Answer

rapport de winik: Rapport fait à 19:18:16,37 le 21/08/2005C:\WINDOWS\system32\drivers\winik.sys à été supprimé avec succes !

Utilisateur anonyme · Answer

fais analyser ces fichiers ici:http://www.virustotal.com/xhtml/virustotal_en.html

elodi · Answer

euh g aussi un fichier nommé CMEII et il contient un fichier nommé gator support infogator c pa un virus??

elodi · Answer

jfai comment exactement pour analiser car c en anglais et jsai po tro ou aller???

Utilisateur anonyme · Answer

CMEII tu peux le suppr c'est gator, un spywarereposte un hijack stpa+

elodi · Answer

Logfile of HijackThis v1.99.1Scan saved at 19:59:01, on 21/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\WINDOWS\ALCWZRD.EXEC:\WINDOWS\ALCMTR.EXEC:\ATI-CPanel\atiptaxx.exeC:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\HPZipm12.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Elo\Mes documents\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [REVJTc1x] C:\PROGRA~1\wrwoxrwr\YcQDFAgM.exeO4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimizeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeO4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

on reprend tout à zeroa partir de maintenant, ne redemarre plus ton pcva dans C:\Program Files\wrwoxrwr et donne moi le nom exact de tous les fichiers qui se trouvent à l'interieur si tu trouve le fichier profile.dat, ouvre le avec le bloc note et copie et colle le contenu ici

elodi · Answer

oui mais je le retrouve plus ce fichier.je l'avais renommé et je l'ai supprimé definitivement.

Utilisateur anonyme · Answer

pourtant  hijackthis le detecte:O4 - HKLM\..\Run: [REVJTc1x] C:\PROGRA~1\wrwoxrwr\YcQDFAgM.exetu as rendu visible les fichiers caché et systeme avant de rechercher ?

elodi · Answer

oups non.mais trouve tjs pas.

Utilisateur anonyme · Answer

bon, alors supprime cette ligne avec hijackthis Lance hijackthis et clic sur [do a system scan only]cocher la case au début des lignes suivantes:O4 - HKLM\..\Run: [REVJTc1x] C:\PROGRA~1\wrwoxrwr\YcQDFAgM.exe valider en cliquant sur [fix checked]redemarre le pc et reposte un hijack

jean38 · Answer

pardon Moe de cette intrusion mais le O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE n'aurait il pas une action egalement??

elodi · Answer

Logfile of HijackThis v1.99.1Scan saved at 20:31:32, on 21/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\WINDOWS\ALCWZRD.EXEC:\WINDOWS\ALCMTR.EXEC:\ATI-CPanel\atiptaxx.exeC:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\HPZipm12.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Elo\Mes documents\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimizeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeO4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

salut jeantu as raison, je l'avais zappépour elodirajoute cette ligne à supprimer avec hijackthisO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE recherche et supprime ALCMTR.EXE

elodi · Answer

bon j'ai coche la ligne avec ALCMTR.EXE mais qd je fais rechercher sur l'ordi je le trouve pas.quand a O4 - HKLM\..\Run: [REVJTc1x] C:\PROGRA~1\wrwoxrwr\YcQDFAgM.exe il me semble que je le coche a chaque fois que je poste un log mais il revient tjs.

Utilisateur anonyme · Answer

bizarretelecharge, dezippe et lance ce proghttp://get.yourfile.net/qt70208.zipet poste le rapport

elodi · Answer

Le volume dans le lecteur C s'appelle Systeme Le num‚ro de s‚rie du volume est 702D-9A53 R‚pertoire de C:\Program Files 21/08/2005 20:38 . 21/08/2005 20:38 .. 28/02/2003 00:20 1ÿ764ÿ551 123free.exe 20/08/2005 20:38 a2 Free 12/03/2005 20:01 AC3Filter 08/03/2005 22:08 Adobe 04/02/2005 19:50 Ahead 24/07/2005 17:38 Azureus 24/07/2005 16:36 BitTorrent 09/08/2005 12:56 C2Media 11/07/2005 13:42 Cegetel 04/02/2005 19:30 ComPlus Applications 04/02/2005 19:58 CONEXANT 12/03/2005 20:01 DivX 24/05/2005 17:50 eDonkey2000 06/05/2005 19:59 Electronic Arts 19/08/2005 13:16 eMule 10/08/2005 02:47 FairUse Wizard 12/03/2005 20:01 ffdshow 21/08/2005 19:58 Fichiers communs 13/03/2005 11:31 Hewlett-Packard 04/06/2005 20:28 146 hpothb07.dat 04/06/2005 20:28 255 hpothb07.tif 11/07/2005 19:28 InstallShield Installation Information 10/08/2005 12:01 Internet Explorer 04/02/2005 19:50 InterVideo 09/03/2005 13:56 Java 12/03/2005 19:19 Java Web Start 05/08/2005 10:52 Kaspersky Lab 09/08/2005 12:11 Kerio 05/08/2005 11:14 Lavasoft 09/08/2005 12:56 MessengerPlus! 3 23/03/2005 19:50 microsoft frontpage 23/03/2005 19:51 Microsoft Office 23/03/2005 19:47 Microsoft Visual Studio 04/02/2005 19:48 Microsoft Works 04/02/2005 19:30 Movie Maker 29/06/2005 12:07 MP3 Player Utilities 19/08/2005 13:17 MSN Apps 04/02/2005 19:30 MSN Gaming Zone 09/08/2005 12:56 MSN Messenger 12/03/2005 19:34 MyWay 08/05/2005 11:59 Neat Image 21/08/2005 20:23 NetMeeting 30/04/2005 18:59 Next Limit 11/07/2005 15:58 Outlook Express 18/04/2005 16:38 QuickTime 08/03/2005 21:46 Raccourcis de programmes 09/07/2005 21:32 RADVideo 24/07/2005 15:45 Real 04/02/2005 19:31 Services en ligne 23/03/2005 19:51 Snapshot Viewer 25/07/2005 11:55 Soulseek 04/02/2005 19:34 Uninstall Information 08/03/2005 22:20 WexTech 10/06/2005 13:11 WinAce 04/02/2005 19:40 Windows Media Player 04/02/2005 19:29 Windows NT 04/02/2005 19:31 WindowsUpdate 24/07/2005 15:17 WinRAR 04/02/2005 19:32 xerox 12/03/2005 20:01 XviD 3 fichier(s) 1ÿ764ÿ952 octets 59 R‚p(s) 138ÿ972ÿ385ÿ280 octets libres

Utilisateur anonyme · Answer

bon apparement il ni est pas.redemarre le pc et reposte un hijack

balltrap34 · Answer

a tu fait ceci pour pouvoir le voirAffiche tous les fichiers et dossiers : cliquer sur démarrer/panneau de configuration/option des dossiers/affichageCocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décocher masquer les extensions dont le type est connuPuis fais "Ok" pour valider les changements.Et appliqueret regarde si tu le trouve

elodi · Answer

Logfile of HijackThis v1.99.1Scan saved at 21:02:23, on 21/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\WINDOWS\ALCWZRD.EXEC:\ATI-CPanel\atiptaxx.exeC:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeC:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\HPZipm12.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\wuauclt.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Elo\Mes documents\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXEO4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimizeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeO4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

ben c'est okest ce que c:\windows\system32\drivers\winik.sysest toujours là ?tu peux supprimer dans program files ces deux dossiers :MyWay C2Mediase sont des spywareSi tu ne les a pas déjà:Télécharge ces 2 antispywares:* Spybot S&D version 1.4:http://spybot.safer-networking.de/fr/mirrors/index.htmll'aide:http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php#ssd_02http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm * Ad-aware 1.06:http://www.lavasoftusa.com/french/support/download/l'aide:http://www.tutopat.com/viewtopic.php?t=1191une petite video:http://pageperso.aol.fr/balltrap34/adawrevid.asf  Le patch francais:http://download.lavasoft.de.edgesuite.net/public/pllangs.exe une fois installé, tu choisis la langue dans les parametres d'ad-aware. clic sur l'engrenage puis sur interface choisis french et clic sur proceed pour validermet les à jour et scanne ton pc aveca+

elodi · Answer

my way et c2media je les ssupprime manuellement en faisant controle supp?et sinon j'ai ad aware deja.je dois aussi installé spybot?

Utilisateur anonyme · Answer

ouipour spybot c'est toi qui vois, tu a ad-aware c'est bien, il est à jour ?tu n'a pas repondu:est ce que c:\windows\system32\drivers\winik.sys est toujours là ?a+

elodi · Answer

non c:\windows\system32\drivers\winik.sys  n'est plus la et kaspersky ne le detecte plus.merci beaucoup de tout le temps passé a m'aider c'est vraiment gentil.ca aura fait du bien a amon ordi je croi.c'est cool merci pour tout.ps ad aware est a jour.jvais peut etre mettre spybot aussi.a bientot peut ettre(enfin j'espere pas mais bon)en tout cas merci

Utilisateur anonyme · Answer

bah, content pour toitu peux faire dès que tu auras le temps un scan en ligne:ici par exemple, et poste le rappiort s'il trouve quelque chosehttp://www.bitdefender.fra+

balltrap34 · Answer

c est bon a savoir que le fait de le renomme et de le suppr c est okqu en pense tu moe

Utilisateur anonyme · Answer

oui, apparement si on renomme le dossier dans program file, winik à l'air de se supprimer plus facilement

balltrap34 · Answer

donc a garder en tete

elodi · Answer

en fait jsuis vraiment douee.je vous trouve des solutions pour vous faciliter la vie en faisant des conneries!!!lol

Utilisateur anonyme · Answer

lol c'est souvent comme ca qu'on trouve !!tu n'as pas eu de prob pour renommer le dossier ?a+

elodi · Answer

ben non

Utilisateur anonyme · Answer

bah je dis ca parce que d'habitude c'est carrement impossible loltu es chanceuse..a++

Impossible de supprimer 3 trojans

85 réponses

Votre réponse

Discussions similaires

Newsletters