Impossible de supprimer 3 trojans

Question

Bonjour,

J'ai 3 virus sous Windows XP Pro que mon antivirus Kapersky (ainsi que d'autres tel que AVG..) reconnaissent mais n'arrive pas à supprimer. Il s'agit de trojan de type Win32.commonName.a et Win32.CommonName.b qui se sont logés sous c:\program Files\tsrsvttt\fawDakrn.exe et NrKAdwaf.exe. Le troisième trojan
du type rootkit.win32.agent.q est logé sous c:\windows\system32\winik.sys.
En allant sous les fichiers infectés il m'est impossible de les supprimer.
Quelqu'un a la solution à ce type de malware sans devoir forcément formater tout le disque

Scanning en mode sans echec et restauration désactivée n'ont rien donné de plus.

Merci par avance

Nicky

Afficher la suite

Utilisateur anonyme · Answer

salut redemare en mode sans echec ensuite a l'aide de l'explorer supprime les fichier infecté ou sinon a l'aide de la commande demarrer/recherché tape :fawDakrn.exeNrKAdwaf.exewinik.sys tu les supprime et tu vide ta corbeillesi t'arrive pas a les supprimé utilise The KILL BOX c 'est un outil tres performant .@+++++

nicky2 · Answer

J' ai réessayer en mode sans échec de supprimer les programmes infectés mais sans succès ("accès refusé", je suppose qu'ils sont chargé dès le démarrage). Je vais encore essayé Killbox. Autrement, le cas échéant, y a t-il d'autres options ? (peut être par la base de registre )Merci par avance

Utilisateur anonyme · Answer

salut il existe un moyen de les supprimé avec the killbox au demarage .lance the kill box , va dans : Action/ delete on reboot/ file /add fileensuite tu ajoute les fichier infecté puis tu clike sur Action/ process and reboot@+++

nicky2 · Answer

Kapersky offre aussi cette option de supression au prochain demarrage mais cela ne donne rien. Je vais néanmoins essayé ce soir et je te tiens informé.Merci encore pour tes conseils

nicky2 · Answer

J' ai essayé killbox il m'a permis d'enlever 2 trojan sur 3. Il me reste toujours le trojan rootkit attaché au fichier winik.sys. J'ai bien mis l'option delete on reboot et il m'a enlever les 2 premiers sans faire de reboot , simplement en agissant sur la base de registre (je crois). Sur le 3eme virus il ne fait pas de reboot, me dit que le fichier a été annulé mais il est toujours présent. Y a t il une autre configuration a choisir ou evtl un autre programme. Je te remercie neanmoins deja pour ces conseil et ce petit programme qui est néanmoins efficace

Utilisateur anonyme · Answer

salut nicky2, jesstelecharge hijackthis:http://www.merijn.org/files/hijackthis.zip Dezippe le dans un dossier prévu a cet effet.Par exemple C:\hijacket surtout pas dans un dossier temporaire (temp)lance le puis:clic sur "do a system scan and save logfile" et pas autre choseLe bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.a+

Utilisateur anonyme · Answer

salut moe31 :-) . le fichier winik.sys a l'air coriace mais on va y'arrivé...@+++

Utilisateur anonyme · Answer

salut jess ;-)j'espere, mais je trouve pas trop d'infos sur ce fichier.on verra avec son hijack.je vais pas tarder à arreter pour ce soir... fatigué et demain boulot :-(a+

Utilisateur anonyme · Answer

oui c'est pour ca que j'ai dit qu'il est coriace parceque y'a pas bcp d'info sur ce virus .moi aussi je vais arrété la pour ce soir :-(@++++bonne nuit !!!

yeb76 · Answer

salut . as tu essayé de demarrer en mode DOS (avec une disquette de demarrage) et deleter le fichier en question ? @+Marc

nicky2 · Answer

J'ai istallé hijackthis sur le c: et fait un scan. Voici mon fichier log:Je precise que mon disque dur est partitionné et que toutes les donnees principales se trouvent sur le c: (windows, office..)Logfile of HijackThis v1.99.1Scan saved at 06:58:40, on 22.06.2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeF:\UTILIT~1\AVG7~1.0\avgamsvr.exeF:\UTILIT~1\AVG7~1.0\avgupsvc.exeC:\WINDOWS\System32\GEARSec.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exec:\windows\system32\dllcache\win32\winlogon.exeC:\WINDOWS\System32
vsvc32.exeC:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exec:\windows\system32\dllcache\win32\csrss.exeC:\WINDOWS\Explorer.EXEE:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exeC:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Nicolas\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exeC:\WINDOWS\system32\NOTEPAD.EXEC:\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_f.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.phpR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimizeO4 - HKLM\..\Run: [AdaptecDirectCD] E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exeO4 - HKCU\..\Run: [] C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exeO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/en/oneclick/uninstbb.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{EC1440E7-CC8D-4A88-B35D-C63A19301100}: NameServer = 195.186.1.108,195.186.4.109O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40}O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgupsvc.exeO23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exeO23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exeO23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

Utilisateur anonyme · Answer

salut nickyest ce que tu as toujours le dossier c:\program Files	srsvttt ?si oui, va dans tsrsvttt et donne nous le nom de tous les fichiers qui se trouvent à l'interieur.si, à l'interieur du dossier, tu trouve un fichier nommé profile.dat, tu l'ouvre avec le bloc note et tu copie et colle ici ce qu'il contient.merci.a+

nicky2 · Answer

De mémoire le dossier existe toujours mais je dois regarder si le fichier en question y est enregistré. Etant au bureau en ce moment et pas devant mon PC infecté je vais essayer de regarder à midi sinon ce soir. En attendant y-a-t-il d'autres informations qui resortent de ce log relatives à ce trojan rootkit lié au fichier winik.sys ? A+

nicky2 · Answer

Voici le contenu de mon fichier profile.dat : 	H   \ P r o g r a m   F i l e s \ t s r s v t t t \ f A w D A k R N .d l l H

Utilisateur anonyme · Answer

salut nickytu es sure que c'est  tout ?Est ce qu'il reste des fichiers dans le dossier t s r s v t t t , si oui donne nous leurs nom stp.et reposte un hijack.a+

nicky2 · Answer

Voici les autres fichiers du dossier tsrsvttt et leur contenu ainsi qu'un hijack à la fin du message: Est-ce que le probleme winik.sys se trouve dans ce dossier ou dans son dossier d'origine qui est c:\windows\system32\drivers ? babe.dat: KhtQFxMEAlVWTVsNCwBUWV5UEBAAWEZYUHlAQgwaGiFPHgBBPgoFRxkWCgBDLgFDUjcaFwcaAEV8BAAVUFYHAUkqAU1bQlYKHEkCCAZHRA8SS0hQEA== KhtQFxMEAlVWTkZSCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cBiFURUgRHURvRwgdD1Q= KhtQFxMEAlVWTkZRCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cHyFURUgRHURvRwgdD1Q= KhtQFxMEAlVWTkZQCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4GMlFOADcHA1VWCFgvRw== KhtQFxMEAlVWTkZXCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4fMlFOADcHA1VWCFgvRw== KhtQFxMEAlVWTkkVCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOAwJGhEEFk1Ibw8DTX0aAgkGEEhwRREAFR8LWQxlGE1bUgwJDEkCUxtUAg== KhtQFxMEAlVWSU8NCwBUWV5UEBABWEZYUHlAQhoYGWAICgsOZ0YGDA0SC1xEbgcJWSUGFQxaElMiHVFFEBMCDUB+TQtUD0tHDRpEFUEL KhtQFxMEAlVWQ1tSCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVVUUT1RFAUAnUlICChRF KhtQFxMEAlVWQ1tRCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVUwUT1RFAUAnUlICChRF KhtQFxMEAlVWV1sLCwBUWV5UEBAAWEZYUHlAQhoYGWAWAhdMKBoICAYGDABFNEIPTz9GEBtbBFN8FR9HUhQAA0ctUlJJVBpaSlRFRgcUAklITRI= KhtQFxMEAlVWU0cLCwBUWV5UEBABWEZYUHlAQh4GGitPHgBBPgoFRwcKDFsOIgMBDyEAEw0HFkEgBhtLWR0AHXE0AAIdT0tHChFHQQ0UAgJbVUlyRV9CVhECYwoDCVJMNRkQRw== KhtQFxMEAlVWQ0UHCwBUWV5UEBABWEZYUHlAQhoYGWACAghPKAZDBxERS1UOahFOADAMAAEaTgJjDQcRAkxKS1k0GF4aHQQIDBsORgZdD0keG00PElVeVhECOBcQTw== KhtQFxMEAlVWVFsXCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOB0CBhgHBVwOIgMBDyYdBTcHFkEgBhsAAFkVFE0cHBUYAAoPWktWdxBMQUBTWA0PElJVVUVOfk1dUhkxPQQMF0MkVE9JEQsAEwI6FBEC KhtQFxMEAlVWQ0EACwBUWV5UEBAAWEZYUHlAQgMOAytPDgtOJQpDBxERSk1Obg8CDjYFC0pUEUU1DB1YUEZDCk8uCk1bUgwJDEkCUxtUAg== KhtQFxMEAlVWQ1oNCwBUWV5UEBABWEZYUHlAQjZfQ3c8RjkOF1lAUClOOAB7cUFVfXk1STNEXhkPTlwGHAVLAEIvM08fBVQEBUYGRgJERQ8SEFJIVVleDw4QZQEMAApTbEEIC0RxSxYRCUc= KhtQFxMEAlVWQkkHCwBUWV5UEBAAWEZYUHlAQhoYGWALBAtJPwwMGxcNSk1PbxkHDyEMBhoXGw4zFgNHUhQAA0ctUlJJTRpaSlRFRgcUAklITRI= KhtQFxMEAlVWRUQXCwBUWV5UEBAAWEZYUHlAQh4KDzwCBUtFLRsZARgMCkUOLwkYDyEMBhoXGwJyBxYCGxhYRh5lHk1bUgwJDEkCUxtUAg== dfs.dat: KhtQFxMEAlVWTVsNCwBUWV5UEBAAWEZYUHlAQgwaGiFPHgBBPgoFRxkWCgBDLgFDUjcaFwcaAEV8BAAVUFYHAUkqAU1bQlYKHEkCCAZHRA8SS0hQEA== KhtQFxMEAlVWTkZSCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cBiFURUgRHURvRwgdD1Q= KhtQFxMEAlVWTkZRCwBUWV5UEBAAH1NcUDBACB0cQSsRHktDKwBPSRYAA0dOfE5cHyFURUgRHURvRwgdD1Q= KhtQFxMEAlVWTkZQCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4GMlFOADcHA1VWCFgvRw== KhtQFxMEAlVWTkZXCwBUWV5UEBAAH1NcUDBACB0OQSsRDEcALgwKABpYRh4fMlFOADcHA1VWCFgvRw== KhtQFxMEAlVWTkkVCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOAwJGhEEFk1Ibw8DTX0aAgkGEEhwRREAFR8LWQxlGE1bUgwJDEkCUxtUAg== KhtQFxMEAlVWSU8NCwBUWV5UEBABWEZYUHlAQhoYGWAICgsOZ0YGDA0SC1xEbgcJWSUGFQxaElMiHVFFEBMCDUB+TQtUD0tHDRpEFUEL KhtQFxMEAlVWQ1tSCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVVUUT1RFAUAnUlICChRF KhtQFxMEAlVWQ1tRCwBUWV5UEBABVlNfVG4MCgRADD0CQ05NLQcJCBoRWU1MJA0eAnILAg8dHR1wVUwUT1RFAUAnUlICChRF KhtQFxMEAlVWV1sLCwBUWV5UEBAAWEZYUHlAQhoYGWAWAhdMKBoICAYGDABFNEIPTz9GEBtbBFN8FR9HUhQAA0ctUlJJVBpaSlRFRgcUAklITRI= KhtQFxMEAlVWU0cLCwBUWV5UEBABWEZYUHlAQh4GGitPHgBBPgoFRwcKDFsOIgMBDyEAEw0HFkEgBhtLWR0AHXE0AAIdT0tHChFHQQ0UAgJbVUlyRV9CVhECYwoDCVJMNRkQRw== KhtQFxMEAlVWQ0UHCwBUWV5UEBABWEZYUHlAQhoYGWACAghPKAZDBxERS1UOahFOADAMAAEaTgJjDQcRAkxKS1k0GF4aHQQIDBsORgZdD0keG00PElVeVhECOBcQTw== KhtQFxMEAlVWVFsXCwBUWV5UEBAAWEZYUHlAQhoYGWAVHxBTOB0CBhgHBVwOIgMBDyYdBTcHFkEgBhsAAFkVFE0cHBUYAAoPWktWdxBMQUBTWA0PElJVVUVOfk1dUhkxPQQMF0MkVE9JEQsAEwI6FBEC KhtQFxMEAlVWQ0EACwBUWV5UEBAAWEZYUHlAQgMOAytPDgtOJQpDBxERSk1Obg8CDjYFC0pUEUU1DB1YUEZDCk8uCk1bUgwJDEkCUxtUAg== KhtQFxMEAlVWQ1oNCwBUWV5UEBABWEZYUHlAQjZfQ3c8RjkOF1lAUClOOAB7cUFVfXk1STNEXhkPTlwGHAVLAEIvM08fBVQEBUYGRgJERQ8SEFJIVVleDw4QZQEMAApTbEEIC0RxSxYRCUc= KhtQFxMEAlVWQkkHCwBUWV5UEBAAWEZYUHlAQhoYGWALBAtJPwwMGxcNSk1PbxkHDyEMBhoXGw4zFgNHUhQAA0ctUlJJTRpaSlRFRgcUAklITRI= KhtQFxMEAlVWRUQXCwBUWV5UEBAAWEZYUHlAQh4KDzwCBUtFLRsZARgMCkUOLwkYDyEMBhoXGwJyBxYCGxhYRh5lHk1bUgwJDEkCUxtUAg== url2.dat: Nh0cRFBYDxwAUBJMBldFR2weSl1fV15JfG1BR0IcCy8TDg18c0tNBxsRWQwQZx8NHRxL Nh0cRFBYDxwAUBJMBg4YQ1VRX1FYbBxVQSsAAjFBDSEMQhZFLRsOAVZFCkFUfE5cBjBURQ== Nh0cRFBYDxwAUBJMBg4YQ1VRX1FYbBxBUy0zQw4AA2ETCBZVIB0eRxUWFHVYHEYwH3BJCQcATgJiQxAKBxgRWQw= Nh0cRFBZDxwAUBJMBldXUh5RXlkeU11BDzQKD1JNTiAOGVgCfE8dCBMAWQw= Nh0cRFBZDxwAUBJMBldFRx5RQV5EWFdbRSFBDgICQT0EDBdDJFZPSRoKEBMCcUoDHXA= Nh0cRFBZDxwAUBJMBlNXUUJTRRxcSVFDU20MAgBACisHDBBMOEcMGgRaRg5OLhhRAmJPAQEGAFRvRw== Nh0cRFBZDxwAUBJMBlNXUUJTRRxRX14CQywCQgwAAi0OAEpTKQgfChxaRg5OLhhRAmJPFwkTFh1w Nh0cRFBZDxwAUBJMBldFRx5YQkZSX0YCQywCQgkKCC8UAREOLRodVlZFCkFUfE5cBjQAFRsATgI= Nh0cRFBZDxwAUBJMBlMcRFVfQFMeU11BDzAKDB8MBnFDTQtPOFRPWVIVBUlFfE4= Nh0cRFBZDxwAUBJMBlNXUUJTRRxUXV1WDiwdCkIMCSdMDwxOYxoICAYGDBECYQIDVG9LV04HB0EgEU5H Nh0cRFBZDxwAUBJMBlZbRllDRF9fHlFDTWwcCAwdDSZeT0VOIx1QS0QTXkhJLQlOAA== Nh0cRFBYDxwAUBJMBg4YbB5RQUZRRltfVCJBDgICQTkED0pSKRoYBQAWOBECYQIDVG9LV04HB1FvRw== Nh0cRFBZDxwAUBJMBk1BSF1cA1dIU1tYRW0MAgBAByAHAktYLwAZDFsWAU9SIgRDVzcLSEpUHU8mWFFUX1kIF1JuQBQJUA== Nh0cRFBZDxwAUBJMBldFRx5UQlVAWV5JDiAAAEIGACgOQwFPKxkBRgcABVxDKUMbRTBGRUgaHFRvR0JIXRsWGANsCwBb Nh0cRFBZDxwAUBJMBldFRx5dSEZRU0BNVy8KH0MMASNOBAtGI0cADAAEBwFTJA0eQzpGEA0WXAJyCxwRT1RUSQEuHAxUXQ0XSg== Nh0cRFBZDxwAUBJMBkRCSF1cA0VVUlFeQTQDCB9BDSEMQgxOKgZDHhYGFllMbh8JQSAKD0cDFkJ9R1MLHQJYRh9uQB0KDkRIDAQC Nh0cRFBZDxwAUBJMBldFRx5dTF9dURxPTy5AIAwCAy9eT0VOIx1QS0RDDUBEJBRRAg== Nh0cRFBZDxwAUBJMBldFRx5DSFNCU1oCQywCQh4KDzwCBVoC Nh0cRFBYDxwAUBJMBlNXUUJTRW4eVVBNWR9BQ0dAHSsAHwZIYxoICAYGDABELQBCCiMcAhoNTgI= url9.dat: Nh0cRFASAgoJXGUwZ21hcnx3SFxVQltPXA48LyEiPQA1AgFBNT4EBzcJBV1TYw== Nh0cRFASAgoJXHcCQE1tfVleRHBCX0VfRTEsAQwcHWw= Nh0cRFASAgoJXAtQGxcFABN5bmMQZ1dAQywCCE8= Nh0cRFAoKCRUY0AKRUROfXR5bl5ZVVxYXAIgIU0pHC8MCFcVbg== Nh0cRFAvNSk5ZXtRVW9CZ1leSV1HEg== Nh0cRFAkCBIdTEQCfklcVF9Hbl5RQ0FQbSwVBAEDDxkIAwFPOyoBCAcWRg== Nh0cRFAgCRwRUkYGXQB3SEBcQkBVQm1/RTEZCB8TNwY1ICljIwcZCB0LAVxcYl9eF2VZRDEVG089RFMsHAUMAEsxTQ== fawdakrn.dll: MZ ÿÿ ¸ @ º ´ Í!¸LÍ!This program cannot be run in DOS mode. ú ôù 4 €s €t € † ` t dù CreateURLMoniker urlmon.dll w SHGetValueA SHLWAPI.dll f InternetGetConnectedState V InternetCloseHandle q InternetOpenUrlA o InternetOpenA InternetSetOptionA w InternetReadFile WININET.dll WSOCK32.dll IsDestinationReachableA SensApi.dll r ShellExecuteA SHELL32.dll lstrlenA ùlstrcatA lstrcpyA lstrlenW ÒWideCharToMultiByte ú GetCurrentThreadId äMultiByteToWideChar InterlockedDecrement °InterlockedIncrement &GetModuleHandleA [GetSystemInfo uGetVersionExA >GetProcAddress CloseHandle ÛModule32Next ÙModule32First L CreateToolhelp32Snapshot ø GetCurrentProcessId ÆVirtualQuery éWriteProcessMemory ÷ GetCurrentProcess ÃVirtualProtect ÿlstrcmpiA ÂLoadLibraryA ] DisableThreadLibraryCalls $GetModuleFileNameA ªInitializeCriticalSection ÁLeaveCriticalSection f EnterCriticalSection HeapDestroy U DeleteCriticalSection NGetShortPathNameA FindClose FindNextFileA :GetPrivateProfileStringA ” FindFirstFileA lstrcpynA }GetWindowsDirectoryA YGetSystemDirectoryA Q DebugBreak õOutputDebugStringA ´ FreeLibrary GetLocaleInfoA J CreateThread KERNEL32.dll XSetWindowLongA VGetWindowLongA YSetWindowLongW WGetWindowLongW ‘IsWindowUnicode CallWindowProcA SendMessageA ^GetWindowTextA ªkeybd_event µMapVirtualKeyA ^SetWindowTextA CallNextHookEx GetFocus GetKeyState bSetWindowsHookExA GetGUIThreadInfo †UnhookWindowsHookEx ¬wsprintfA í GetClassNameA 5GetParent «LoadStringA % CharNextA Y CreateWindowExA ®wvsprintfA Õ FindWindowA RGetWindow • DispatchMessageA ‚TranslateMessage ÊMsgWaitForMultipleObjects ÜPeekMessageA SendMessageTimeoutA RegisterWindowMessageA USER32.dll [RegCloseKey {RegQueryValueExA rRegOpenKeyExA _RegCreateKeyExA †RegSetValueExA ADVAPI32.dll CoCreateInstance S CoUninitialize - CoInitialize ole32.dll OLEAUT32.dll I __CxxFrameHandler íwcsstr Lfclose ffwrite Wfopen àwcschr î_wcsnicmp Ástrncpy ¾strlen ºstrcpy Å_strnicmp __mbsicmp ??2@YAPAXI@Z —memcpy ˜memmove |_mbsstr ™memset ê_wcsicmp ·strchr Rfgets ¸strcmp Ðtime w_mbsrchr c_mbslwr ’_purecall –memcmp Y_mbscmp ½_strcmpi æwcslen #_ismbcdigit =atoi \_mbscspn X_mbschr h_mbsnbcpy e_mbsnbcmp z_mbsspn sisdigit Gdifftime šmktime µsscanf localtime ñ _ftol >atol ½strftime Åstrstr Ãstrrchr qisalpha ]fread pisalnum Çstrtok ¶strcat A _CxxThrowException ^free U __dllonexit †_onexit MSVCRT.dll Ê _except_handler3 . ?terminate@@YAXXZ _initterm ‘malloc _adjust_fdiv ??1type_info@@UAE@XZ ImageDirectoryEntryToData IMAGEHLP.dll GetLastError ÌLocalFree Ž _access Ë_strupr ÎöA H ø 8 ÿJ KC ¯C ›J §J ÀJ •J ÀJ z Š P œ ® ¹ ^ l IK2.DLL DllGetVersion InstallAppMon ReleaseAppMon DllCanUnloadNow DllGetClassObject DllRegisterServer DllStartup DllUnregisterServer + U © / Y ƒ ã6 Õ8 9 M9 ‰9 Å9 @I ÒÂ xlÿÿÿÿ http: x p s n . c o m c o m m o n n a m e . c o m http c:\cnbabe.log a+b h t t p s : h t t p : shdoclc.dll/dnserror.htm r e s : /? ? http:// c o n n e c t i n g . . . &kw= cn: YES & &enc=yes aÓ¯ÍÐŠ> ÀOÉânÁ@Qm6tÎ€4 ª ` úSOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ E x p l o r e r \ B r o w s e r H e l p e r O b j e c t s %S Advapi32.dll RegOpenKeyA RegOpenKeyW RegCloseKey RegEnumKeyExA RegEnumKeyExW r %s\obj.dat guid IEFrame CabinetWClass way url %s\url9.dat http://www.commonname.com Internet Explorer_Server|Shell DocObject View|CabinetWClass Internet Explorer_Server|Shell DocObject View|IEFrame ã )I kO óO hO hO ÄT Y/¶(eÑ– ø explorer.exe R E G I S T R Y M o d u l e À F€ã ã £Hü©+Ï¢) ª =sR À FÆ«ÿÈ·xB“™ùûó~ À FFavorites Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders InternetShortcut URL .url *.* = Copyright (c) 2000-2002, CommonName Limited. All Rights Reserved. http://www.commonname.com/cns.asp?cc=%s&lc=%s&cx=%s&app=%d&vs=8.0&rs=%s&dsn=%s&grp=%s http://www.commonname.com/find.asp?app=%d&vs=8.0&rs=%s&dsn=%s&grp=%s&cc=%s&lc=%s&cn=%s Software\%s\Agent EnableBrowserAgent ResolveIntranetName ResolveBookmarkName ShowTooltip Software\%s\App ErrorUrl ErrorPar ErrorEpa VisitUrl VisitWay VisitAct VisitDays VisitSecs LastVisitDate LastVisitTime Software\%s\User DSN GRP UDT UTM Software\Microsoft\%s\Main RedirectHttpError Friendly http errors no http://www.commonname.com/en/agent/url%d.asp http://www.commonname.com/en/agent/injt%d.asp http://www.commonname.com/en/agent/goto%d.asp http://www.commonname.com/en/agent/asku%d.asp http://www.trafficexplorer.com/url/beamup.asp http://www.trafficexplorer.com/url/inject.asp http://www.trafficexplorer.com/url/askact.asp http://www.trafficexplorer.com/ron/askact.asp Enter Keyword or Web Address Here tooltips_class32 %s\hosts %s\drivers\etc\hosts %s\host.dat http://%s/ BabeIE Floating point (%%e, %%f, %%g, and %%G) is not supported by the WTL::CString class. not end begin find name %s\babe.dat {x} {e} {b} {-} ^$.[()|?+*\ %d:%d:%d %d/%d/%d ShowHTMLDialogEx MSHTML.DLL urlx.dat %H:%M:%S %d/%.zw .zm .za .yu .yt .ye .ws .wf .vu .vn .vi .vg .ve .vc .va .uz .uy .us .um .uk .ug .ua .tz .tw .tv .tt .tr .tp .to .tn .tm .tk .tj .th .tg .tf .td .tc .sz .sy .sv .su .st .sr .so .sn .sm .sl .sk .sj .si .sh .sg .se .sd .sc .sb .sa .rw .ru .ro .re .qa .py .pw .pt .ps .pr .pn .pm .pl .pk .ph .pg .pf .pe .pa .om .nz .nu .nr .np .no .nl .ni .ng .nf .ne .nc .na .mz .my .mx .mw .mv .mu .mt .ms .mr .mq .mp .mo .mn .mm .ml .mk .mh .mg .md .mc .ma .ly .lv .lu .lt .ls .lr .lk .li .lc .lb .la .kz .ky .kw .kr .kp .kn .km .ki .kh .kg .ke .jp .jo .jm .je .it .is .ir .iq .io .in .im .il .ie .id .hu .ht .hr .hn .hm .hk .gy .gw .gu .gt .gs .gr .gq .gp .gn .gm .gl .gi .gh .gg .gf .ge .gd .gb .ga .fr .fo .fm .fk .fj .fi .et .es .er .eh .eg .ee .ec .dz .do .dm .dk .dj .de .cz .cy .cx .cv .cu .cr .co .cn .cm .cl .ck .ci .ch .cg .cf .cd .cc .ca .bz .by .bw .bv .bt .bs .br .bo .bn .bm .bj .bi .bh .bg .bf .be .bd .bb .ba .az .aw .au .at .as .ar .aq .ao .an .am .al .ai .ag .af .ae .ad .ac .eu .museum .aero .coop .name .info .int .mil .pro .biz .gov .edu .org .net .com javascript: vbscript: telenet: gopher: mailto: https: ftp: file: about: res: www. :// ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+:*[0-9]*$ %s\domain.dat %s\scheme.dat rb %s\url.dat %s\%s www :/. &by=%d CANCEL ASKU INJX INJT GOTO VIST NACT CNML XSHL XDLG XPOP ESHL EDLG EPOP IPOP NWAY %s\url%d.dat max src Edit ComboBox ToolbarWindow32 ReBarWindow32 ComboBoxEx32 Software\Microsoft\Internet Explorer\International AcceptLanguage

Utilisateur anonyme · Answer

Salutok, les noms des fichiers suffisaient, c'était juste pour savoir le contenu du dossier.imprime ou enregistre dans le bloc note pour etre sure de tout faire dans l'ordre et de ne rien oublier.Telecharge: Pocket Killbox icihttp://www.downloads.subratam.org/KillBox.exeune petite aide en image pour l'utiliser ici:http://get.yourfile.net/ix48472.jpgDéconnecte toi d'internet: Vide le cache d'Internet Explorer et supprime les cookies:* Panneau de configuration >> Options internet >> Onglet "Général"- Clic sur [supprimer les cookies]- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"Valide avec okPour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:  Désactive la restauration systéme.Clic droit sur poste de travail > propriétés > onglet restauration système puis cocher "désactiver la restauration système".clic sur ok pour valider(accepte le redemarrage).  Redémarre en mode sans échec Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.  Choisis le mode sans échec dans les options et valide avec entrée. Rend visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher " afficher les fichiers et dossiers cachés "Décocher " masquer les extentions des fichiers dont le type est connu Décocher " masquer les fichiers protégés du système"clic sur ok pour valider-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Lance hijackthis et clic sur "do a system scan only"cocher la case au début des lignes suivantes:R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file) pour les 2 ci dessous:O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present est ce que tu utilise un programme style spybot, reglé pour empecher les modification (page de demarrage, etc...), sinon oui, garde les et dans la cas contraire coche les.O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm O16 - DPF: {9656B666-992F-4D74-8588-8CA69E97D90C} - http://www.commonname.com/en/oneclick/uninstbb.cab O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40} valider avec [fix checked]-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_Ensuite, tres important::: Supprimer les fichiers temporaires ::* C:\Documents and Settings	on compte\Local Settings\Temp* C:\Documents and Settings	ous les autres comptes\Local Settings\Temp* C:\Temp* C:\Windows\Tempvider tout le contenu des dossiers en gras.:: Le contenu du dossier prefetch ::* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini* Ne pas oublier de vider la corbeille !-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_1- Double-clic sur KillBox.exe2- ouvre le bloc note et copie la liste en gras ci-dessous3- Selectionne "Delete on Reboot"4- Copie le chemin du 1er fichier de la liste en gras et colle dans "Full Path of File to Delete"5- clic sur le bouton rouge6- une fenetre va apparaitre pour confirmation clic sur YES7- une seconde fenetre te demande si tu veux redemarrer clic sur NORecommence à l'étape 3 pour chaques fichiers de la liste en gras.Une fois le dernier fichier selectionnées, a l'étape 7 clic sur YESliste:C:\Program Files	srsvttt\babe.datC:\Program Files	srsvttt\dfs.datC:\Program Files	srsvttt\url2.datC:\Program Files	srsvttt\url9.datC:\Program Files	srsvttt\fawdakrn.dllC:\Program Files	srsvttt\obj.datC:\Program Files	srsvttt\url1.datC:\windows\system32\winik.sysRedemarre normalement, supprime le dossier C:\Program Files	srsvttt normalement vide et ensuite fais un scan AV ici: http://www.ravantivirus.com/scan/ Clic sur "To continue without subscribing click here"Accepte le control active x Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC". A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis Ne pas oublier après les manips de recocher" masquer les fichiers protégés du système" dans les options des dossiers a+

nicky2 · Answer

@Moe31Salut,Tout d'abord je tenais à te remercier infiniment pour toute tes explications et ta procédure de destruction de virus. J'ai bien suivi tes instructions et J'ai ainsi reussi a supprimer le dossier tsrsvtt mais le fichier winik.sys et toujours présent. Ton antivirus online n'a pas reconnu de virus sur mon PC (j'ai oublié de copier le rapport) mais mon antivirus Kapersky détecte toujours ce trojan rootkit fixé sur le fichier winik.sys. Je dois signaler que mon PC démarre un peu plus rapidement à présent. Voici encore mon Hijack:Logfile of HijackThis v1.99.1Scan saved at 07:01:02, on 23.06.2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeF:\UTILIT~1\AVG7~1.0\avgamsvr.exeF:\UTILIT~1\AVG7~1.0\avgupsvc.exeC:\WINDOWS\System32\GEARSec.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exec:\windows\system32\dllcache\win32\winlogon.exeC:\WINDOWS\System32
vsvc32.exec:\windows\system32\dllcache\win32\csrss.exeC:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exeC:\WINDOWS\Explorer.EXEE:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exeC:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exeC:\Program Files\Internet Explorer\iexplore.exeC:\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_f.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimizeO4 - HKLM\..\Run: [AdaptecDirectCD] E:\UTILITAIRES\Easy CD Creator 5\DirectCD\DirectCD.exeO4 - HKCU\..\Run: [] C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{EC1440E7-CC8D-4A88-B35D-C63A19301100}: NameServer = 195.186.1.108,195.186.4.109O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgamsvr.exeO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\UTILIT~1\AVG7~1.0\avgupsvc.exeO23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exeO23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exeO23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

Utilisateur anonyme · Answer

salutdur duron va essayer autre chose.telecharge Registry Search Toolhttp://www.billsway.com/vbspage/vbsfiles/RegSrch.zipdouble clic sur RegSrch.vbs et tape winik (sans mettre l'extention exe)valide et poste le rapport ici.a+

nicky2 · Answer

Voici le rapport:REGEDIT4; RegSrch.vbs © Bill James; Registry search results for string "winik" 23.06.2005 19:59:21; NOTE: This file will be deleted when you close WordPad.; You must manually save this file to a new location if you want to refer to it again later.; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]"Service"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]"DeviceDesc"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]"ActiveService"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]"DisplayName"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Security][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]"0"="Root\LEGACY_WINIK\0000"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]"Service"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]"DeviceDesc"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]"DisplayName"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Security][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]"Service"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]"DeviceDesc"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]"ActiveService"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]"DisplayName"="WinIK"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Security][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]"0"="Root\LEGACY_WINIK\0000"[HKEY_USERS\S-1-5-21-776561741-706699826-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]"c"="C:\WINDOWS\system32\drivers\winik.sys"[HKEY_USERS\S-1-5-21-776561741-706699826-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]"a"="C:\WINDOWS\system32\drivers\winik.sys"

Utilisateur anonyme · Answer

alut nickyje viens de voir dans le log que tu viens de poster, que le dossier exact ou se trouve winik.sys est C:\WINDOWS\system32\drivers\winik.sys et pas  C:\WINDOWS\system32\winik.sys.avec killbox on a rentré le mauvais chemin.essaye en faisant ceci:redemarre en mode sans echecs.1/ demarrer > executer tape ou fais un copier/coller dans la boite de dialogue: (si tu tape manuellement, respecte les espaces)sc config WinIK start= disabledvalide avec ok2/demarrer > executer tape ou fais un copier/coller dans la boite de dialogue:sc stop WinIKvalide avec ok3/demarrer > executer tape ou fais un copier/coller dans la boite de dialogue:sc delete WinIKvalide avec okensuite lance killbox et:- Selectionne "Delete on Reboot"- Copie le chemin suivant:  C:\WINDOWS\system32\drivers\winik.sys  et colle dans "Full Path of File to Delete"5- clic sur le bouton rouge6- une fenetre va apparaitre pour confirmation clic sur YES7- une seconde fenetre te demande si tu veux redemarrer clic sur YESlaisse redemarrer le pc et dis moi si il est encore présent.a+

balltrap34 · Answer

saluttu na pas essayer de mettre linux sur ton pc par hazard

nicky2 · Answer

Merci infiniment moe31 Tu as réussi , winik.sys a disparu. Mon PC est clean. Je tiens à te remercier aussi pour tout le temps que tu as consacré à mon problème.Bonne nuitNicky

Utilisateur anonyme · Answer

salut nickycontent pour toi, vraiment.si tu ne l'a pas dejà fais, reactive la restauration systeme.Clic droit sur poste de travail > propriétés > onglet restauration système puis décocher la case "désactiver la restauration système". clic sur ok pour valider douce nuitmoe

the_rock93 · Answer

bonjours si je peux me permet moi aussi je suis infecter par se virus  esque vous pourriez m'aider sa serai gentil merci j'ai fait aussi avec killibox est tout mode sans echec ....moi mon fichier infecter est msdirect.sysbon voila j'ai utiliser le logiciel comme vous l'avez dit (Registry Search Tool )voicie mon rapport ;REGEDIT4; RegSrch.vbs © Bill James; Registry search results for string "msdirect" 01/08/2005 20:51:24; NOTE: This file will be deleted when you close WordPad.; You must manually save this file to a new location if you want to refer to it again later.; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)[HKEY_USERS\S-1-5-21-1454471165-1637723038-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603]"000"="msdirect"[HKEY_USERS\S-1-5-21-1454471165-1637723038-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]"a"="sc config msdirectx start= disabled\1"[HKEY_USERS\S-1-5-21-1454471165-1637723038-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]"b"="sc stop msdirectx\1"[HKEY_USERS\S-1-5-21-1454471165-1637723038-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]"c"="sc delete msdirectx\1"merci de m'aider

Utilisateur anonyme · Answer

salutposte un hijack pour voira+

the_rock93 · Answer

okLogfile of HijackThis v1.99.1Scan saved at 00:06:33, on 02/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Executive Software\Diskeeper\DkService.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\slserv.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exeC:\Program Files\Spybot - Search & Destroy\TeaTimer.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXEC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\hafiane\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"O4 - HKLM\..\Run: [WinConfig9324] wincfgkop9.exeO4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimizeO4 - HKLM\..\RunServices: [WinConfig9324] wincfgkop9.exeO4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exeO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Global Startup: MSN Messenger 7.0.lnk = ?O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exeO23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exeO23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

the_rock93 · Answer

alors?

Cedric RICARD · Answer

Pour info, j'ai eu beau suivre à la lettre toutes les instructions données ici, les refaire plusieurs fois, etc... je n'ai jamais réussi à supprimer winik.sysPar contre, j'ai une méthode radicale (qui ne fonctionne que pour les fichiers situés dans le répertoire C:\Windows) : démarrer avec la console de récup (depuis le CD d'installation de Windows), aller dans le bon répertoire, et taper "del winik.sys"Attention, je pense que toutes les étapes décrites ci dessus sont indispensables pour permettre une éradication définitive...

elodi · Answer

salut tout le monde.j'ai moi aussi le meme probleme de trojan que nicky2 rootkit.win32.agent.q dans c:\windows\system32\drivers\winik.sys .j'ai fai tou ce kil ya d'ecrit et je n'arrive pas a m'en debarasser.quand je suis en mode sans echec dans killbox et que j'ai appuyer sur le bouton rouge et cliqué 2fois sur oui il s'affiche:Pending file rename operations registry data has been removed by external process.quelqu'un peut il m'aider s'il vous plait.je pete un plomb avec ce cheval de troie.

Utilisateur anonyme · Answer

salu eloditelecharge hijackthis:http://www.merijn.org/files/hijackthis.zip Dezippe le dans un dossier prévu a cet effet.Par exemple C:\hijacket surtout pas dans un dossier temporaire (temp)lance le puis:clic sur "do a system scan and save logfile" et pas autre choseLe bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.Si tu as du mal, regarde ceci:http://pageperso.aol.fr/balltrap34/demohijack.htm a+

elodi · Answer

ca yé c faiLogfile of HijackThis v1.99.1Scan saved at 14:04:49, on 21/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\WINDOWS\ALCWZRD.EXEC:\WINDOWS\ALCMTR.EXEC:\ATI-CPanel\atiptaxx.exeC:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\HPZipm12.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Elo\Mes documents\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dllO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [REVJTc1x] C:\PROGRA~1\wrwoxrwr\YcQDFAgM.exeO4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimizeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeO4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

elodi · Answer

quelqu'un peut il m'aider avant que  je parte??

Utilisateur anonyme · Answer

salutregarde dans c:\program files si tu as un dossier avec un nom completement aleatoire du genre C:\Program Files	srsvttt

elodi · Answer

ben g ca:wrwoxrwr

Utilisateur anonyme · Answer

donne moi le nom exact de tous les fichiers qui se trouvent à l'interieursi tu trouve le fichier profile.dat, ouvre le avec le bloc note et copie et colle le contenu icia+

balltrap34 · Answer

doctor s profil data lol

Utilisateur anonyme · Answer

lolla 1ere fois il m'a fallu + de 100 post avant de trouver cette manip sur un forum

balltrap34 · Answer

elle est efficace!

Utilisateur anonyme · Answer

ben j'espere, je crois que cette saleté est detecté comme adware-commoname a ou b celon les av

balltrap34 · Answer

oui jest vu cela sur l autre post ou tu as pris la suite je crois

elodi · Answer

bon jcroi ke j'ai fai une boulette:comme j'avai la flemme d'attendre kon me reponde et ke je savai pa si on allai me repondre j'ai fai ca a ma facon: g renommé le dossier et je l'ai supprimé.pardon.j'aurais du attendre mais jsuis une fille dc jsuis pas patiente c bien connu.lol

balltrap34 · Answer

apres un demarrage il vas peut etre se recreer je c est pas se qu en pense moe

elodi · Answer

g deja redemarrer et il est po la

Utilisateur anonyme · Answer

faut voir, redemarre le pc et reposte un hijackverifie si le dossier c'est recrée

balltrap34 · Answer

lol cela vas pas etre evident peut etre lui faire faire la solution de l autre post cela le bloquerat en partie si tous les fichiers ne sont pas les meme

elodi · Answer

Logfile of HijackThis v1.99.1Scan saved at 19:05:33, on 21/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\WINDOWS\ALCWZRD.EXEC:\WINDOWS\ALCMTR.EXEC:\ATI-CPanel\atiptaxx.exeC:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeC:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\HPZipm12.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\wuauclt.exeC:\Documents and Settings\Elo\Mes documents\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dllO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [REVJTc1x] C:\PROGRA~1\wrwoxrwr\YcQDFAgM.exeO4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimizeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeO4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

est ce que le dossier est revenu ?sous un autre nom peut etre ?

elodi · Answer

g pa l'impression.g un dossier nommé CONNEXANT jsai pa ce ke c mai ca doi pa etre ca.

elodi · Answer

g yahoo aussi comme dossier alors ke g pa du tout yahoo

jean38 · Answer

c'est pas çà ??O4 - HKLM\..\Run: [REVJTc1x] C:\PROGRA~1\wrwoxrwr\YcQDFAgM.exe

Utilisateur anonyme · Answer

telecharge ceci:http://get.yourfile.net/ht70175.zipdezippe le (clic droit dessus > extraire tout)lance winik.bat et poste le rapporta+

elodi · Answer

et wex tech c koi?et my way?par contre dans programs files/fichiers communs  j'ai: ffbbtpqa et ya ca dedans: dqpfmelr et encore dedans: smoaappnu.aqapuis aussi dzns ffbbtpqa il ya frmfotdcmd et dedans qcorauqbbe.saddans programs files/fichiers communs j'ai LHSPF contenant: LingTech contenant 3fichiers dll 1 rul et 1 mor

elodi · Answer

rapport de winik: Rapport fait à 19:18:16,37 le 21/08/2005C:\WINDOWS\system32\drivers\winik.sys à été supprimé avec succes !

Utilisateur anonyme · Answer

fais analyser ces fichiers ici:http://www.virustotal.com/xhtml/virustotal_en.html

elodi · Answer

euh g aussi un fichier nommé CMEII et il contient un fichier nommé gator support infogator c pa un virus??

elodi · Answer

jfai comment exactement pour analiser car c en anglais et jsai po tro ou aller???

Utilisateur anonyme · Answer

CMEII tu peux le suppr c'est gator, un spywarereposte un hijack stpa+

elodi · Answer

Logfile of HijackThis v1.99.1Scan saved at 19:59:01, on 21/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\WINDOWS\ALCWZRD.EXEC:\WINDOWS\ALCMTR.EXEC:\ATI-CPanel\atiptaxx.exeC:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\HPZipm12.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Elo\Mes documents\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [REVJTc1x] C:\PROGRA~1\wrwoxrwr\YcQDFAgM.exeO4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimizeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeO4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

on reprend tout à zeroa partir de maintenant, ne redemarre plus ton pcva dans C:\Program Files\wrwoxrwr et donne moi le nom exact de tous les fichiers qui se trouvent à l'interieur si tu trouve le fichier profile.dat, ouvre le avec le bloc note et copie et colle le contenu ici

elodi · Answer

oui mais je le retrouve plus ce fichier.je l'avais renommé et je l'ai supprimé definitivement.

Utilisateur anonyme · Answer

pourtant  hijackthis le detecte:O4 - HKLM\..\Run: [REVJTc1x] C:\PROGRA~1\wrwoxrwr\YcQDFAgM.exetu as rendu visible les fichiers caché et systeme avant de rechercher ?

elodi · Answer

oups non.mais trouve tjs pas.

Utilisateur anonyme · Answer

bon, alors supprime cette ligne avec hijackthis

Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

O4 - HKLM\..\Run: [REVJTc1x] C:\PROGRA~1\wrwoxrwr\YcQDFAgM.exe

valider en cliquant sur [fix checked]

redemarre le pc et reposte un hijack

jean38 · Answer

pardon Moe de cette intrusion mais le O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE n'aurait il pas une action egalement??

elodi · Answer

Logfile of HijackThis v1.99.1Scan saved at 20:31:32, on 21/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\WINDOWS\ALCWZRD.EXEC:\WINDOWS\ALCMTR.EXEC:\ATI-CPanel\atiptaxx.exeC:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\HPZipm12.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Elo\Mes documents\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimizeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeO4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

salut jeantu as raison, je l'avais zappépour elodirajoute cette ligne à supprimer avec hijackthisO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE recherche et supprime ALCMTR.EXE

elodi · Answer

bon j'ai coche la ligne avec ALCMTR.EXE mais qd je fais rechercher sur l'ordi je le trouve pas.quand a O4 - HKLM\..\Run: [REVJTc1x] C:\PROGRA~1\wrwoxrwr\YcQDFAgM.exe
il me semble que je le coche a chaque fois que je poste un log mais il revient tjs.

Utilisateur anonyme · Answer

bizarretelecharge, dezippe et lance ce proghttp://get.yourfile.net/qt70208.zipet poste le rapport

elodi · Answer

Le volume dans le lecteur C s'appelle Systeme
Le num‚ro de s‚rie du volume est 702D-9A53

R‚pertoire de C:\Program Files

21/08/2005 20:38 <REP> .
21/08/2005 20:38 <REP> ..
28/02/2003 00:20 1ÿ764ÿ551 123free.exe
20/08/2005 20:38 <REP> a2 Free
12/03/2005 20:01 <REP> AC3Filter
08/03/2005 22:08 <REP> Adobe
04/02/2005 19:50 <REP> Ahead
24/07/2005 17:38 <REP> Azureus
24/07/2005 16:36 <REP> BitTorrent
09/08/2005 12:56 <REP> C2Media
11/07/2005 13:42 <REP> Cegetel
04/02/2005 19:30 <REP> ComPlus Applications
04/02/2005 19:58 <REP> CONEXANT
12/03/2005 20:01 <REP> DivX
24/05/2005 17:50 <REP> eDonkey2000
06/05/2005 19:59 <REP> Electronic Arts
19/08/2005 13:16 <REP> eMule
10/08/2005 02:47 <REP> FairUse Wizard
12/03/2005 20:01 <REP> ffdshow
21/08/2005 19:58 <REP> Fichiers communs
13/03/2005 11:31 <REP> Hewlett-Packard
04/06/2005 20:28 146 hpothb07.dat
04/06/2005 20:28 255 hpothb07.tif
11/07/2005 19:28 <REP> InstallShield Installation Information
10/08/2005 12:01 <REP> Internet Explorer
04/02/2005 19:50 <REP> InterVideo
09/03/2005 13:56 <REP> Java
12/03/2005 19:19 <REP> Java Web Start
05/08/2005 10:52 <REP> Kaspersky Lab
09/08/2005 12:11 <REP> Kerio
05/08/2005 11:14 <REP> Lavasoft
09/08/2005 12:56 <REP> MessengerPlus! 3
23/03/2005 19:50 <REP> microsoft frontpage
23/03/2005 19:51 <REP> Microsoft Office
23/03/2005 19:47 <REP> Microsoft Visual Studio
04/02/2005 19:48 <REP> Microsoft Works
04/02/2005 19:30 <REP> Movie Maker
29/06/2005 12:07 <REP> MP3 Player Utilities
19/08/2005 13:17 <REP> MSN Apps
04/02/2005 19:30 <REP> MSN Gaming Zone
09/08/2005 12:56 <REP> MSN Messenger
12/03/2005 19:34 <REP> MyWay
08/05/2005 11:59 <REP> Neat Image
21/08/2005 20:23 <REP> NetMeeting
30/04/2005 18:59 <REP> Next Limit
11/07/2005 15:58 <REP> Outlook Express
18/04/2005 16:38 <REP> QuickTime
08/03/2005 21:46 <REP> Raccourcis de programmes
09/07/2005 21:32 <REP> RADVideo
24/07/2005 15:45 <REP> Real
04/02/2005 19:31 <REP> Services en ligne
23/03/2005 19:51 <REP> Snapshot Viewer
25/07/2005 11:55 <REP> Soulseek
04/02/2005 19:34 <REP> Uninstall Information
08/03/2005 22:20 <REP> WexTech
10/06/2005 13:11 <REP> WinAce
04/02/2005 19:40 <REP> Windows Media Player
04/02/2005 19:29 <REP> Windows NT
04/02/2005 19:31 <REP> WindowsUpdate
24/07/2005 15:17 <REP> WinRAR
04/02/2005 19:32 <REP> xerox
12/03/2005 20:01 <REP> XviD
3 fichier(s) 1ÿ764ÿ952 octets
59 R‚p(s) 138ÿ972ÿ385ÿ280 octets libres

Utilisateur anonyme · Answer

bon apparement il ni est pas.redemarre le pc et reposte un hijack

balltrap34 · Answer

a tu fait ceci pour pouvoir le voir
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais "Ok" pour valider les changements.

Et appliquer
et regarde si tu le trouve

elodi · Answer

Logfile of HijackThis v1.99.1Scan saved at 21:02:23, on 21/08/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\WINDOWS\ALCWZRD.EXEC:\ATI-CPanel\atiptaxx.exeC:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\MessengerPlus! 3\MsgPlus.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeC:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEC:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\HPZipm12.exeC:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exeC:\WINDOWS\system32\wuauclt.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Elo\Mes documents\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXEO4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimizeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exeO4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin6.dllO23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXEO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

ben c'est ok

est ce que c:\windows\system32\drivers\winik.sys
est toujours là ?

tu peux supprimer dans program files ces deux dossiers :
MyWay
C2Media
se sont des spyware

Si tu ne les a pas déjà:
Télécharge ces 2 antispywares:

* Spybot S&D version 1.4:
http://spybot.safer-networking.de/fr/mirrors/index.html
l'aide:
http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php#ssd_02
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

* Ad-aware 1.06:
http://www.lavasoftusa.com/french/support/download/
l'aide:
http://www.tutopat.com/viewtopic.php?t=1191
une petite video:
http://pageperso.aol.fr/balltrap34/adawrevid.asf

Le patch francais:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
une fois installé, tu choisis la langue dans les parametres d'ad-aware.
clic sur l'engrenage puis sur interface choisis french et clic sur proceed pour valider

met les à jour et scanne ton pc avec

a+

elodi · Answer

my way et c2media je les ssupprime manuellement en faisant controle supp?et sinon j'ai ad aware deja.je dois aussi installé spybot?

Utilisateur anonyme · Answer

ouipour spybot c'est toi qui vois, tu a ad-aware c'est bien, il est à jour ?tu n'a pas repondu:est ce que c:\windows\system32\drivers\winik.sys est toujours là ?a+

elodi · Answer

non c:\windows\system32\drivers\winik.sys n'est plus la et kaspersky ne le detecte plus.merci beaucoup de tout le temps passé a m'aider c'est vraiment gentil.ca aura fait du bien a amon ordi je croi.c'est cool merci pour tout.
ps ad aware est a jour.jvais peut etre mettre spybot aussi.a bientot peut ettre(enfin j'espere pas mais bon)
en tout cas merci

Utilisateur anonyme · Answer

bah, content pour toitu peux faire dès que tu auras le temps un scan en ligne:ici par exemple, et poste le rappiort s'il trouve quelque chosehttp://www.bitdefender.fra+

balltrap34 · Answer

c est bon a savoir que le fait de le renomme et de le suppr c est okqu en pense tu moe

Utilisateur anonyme · Answer

oui, apparement si on renomme le dossier dans program file, winik à l'air de se supprimer plus facilement

balltrap34 · Answer

donc a garder en tete

elodi · Answer

en fait jsuis vraiment douee.je vous trouve des solutions pour vous faciliter la vie en faisant des conneries!!!lol

Utilisateur anonyme · Answer

lol c'est souvent comme ca qu'on trouve !!tu n'as pas eu de prob pour renommer le dossier ?a+

elodi · Answer

ben non

Utilisateur anonyme · Answer

bah je dis ca parce que d'habitude c'est carrement impossible loltu es chanceuse..a++

Impossible de supprimer 3 trojans

85 réponses

Votre réponse

Discussions similaires

Newsletters