A voir également:
- Hijackthis log analyzer
- Hijackthis windows 10 - Télécharger - Antivirus & Antimalwares
- Frequency analyzer - Télécharger - Audio & Musique
- View rescue log - Guide
- Acrylic wifi analyzer - Télécharger - Réseau & Wi-Fi
- Microsoft baseline security analyzer - Télécharger - Sécurité
17 réponses
Neo-Nil@u
Messages postés
1595
Date d'inscription
jeudi 10 mars 2005
Statut
Contributeur
Dernière intervention
8 août 2005
96
29 juin 2005 à 16:03
29 juin 2005 à 16:03
Salut Embêté !!!
Tout d'abord, imprime ce message pour ne rien oublier
*** Déconnecte toi d'Internet
*** Vide ton cache Internet :
Panneau de configuration - Options Internet :
- Clique sur "Supprimer les cookies"
- Clique sur "Supprimer les fichiers" en cochant la case
Puis valide ...
*** Désactive la restauration système
Clic droit sur poste de travail - propriétés - onglet Restauration système
Coche "désactiver la restauration système" (accepte le redémarrage).
*** Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8.
Choisis le mode sans échec dans les options et valide avec entrée.
*** Rend visible les fichiers cachés et système :
Panneau de configuration - Options des dossiers - onglet Affichage
Coche " Afficher les fichiers et dossiers cachés "
Décoche " Masquer les extensions des fichiers dont le type est connu"
Décoche " Masquer les fichiers protégés du système" puis valide
*** Toujours en mode sans échec, lance hijackthis et fixe :
(Coche les cases au début des lignes suivantes)
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKLM\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKLM\..\Run: [automsn] ntscan.exe
O4 - HKLM\..\Run: [Hollaback] mozilla.exe
O4 - HKLM\..\RunServices: [automsn] ntscan.exe
O4 - HKLM\..\RunServices: [Hollaback] mozilla.exe
O4 - HKCU\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKCU\..\Run: [Hollaback] mozilla.exe
O4 - HKCU\..\Run: [automsn] ntscan.exe
O4 - HKCU\..\Run: [Arht] C:\Program Files\mirt\oaro.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c1.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
Puis valide avec Fix Checked
*** Recherche et supprime si présent :
[Dans le cas ou tu utiliserais la fonction Rechercher :
Tous les fichiers et tous les dossiers - Options avancées
• Rechercher dans les dossiers systèmes } DOIT ÊTRE COCHÉ
• Rechercher dans les fichiers et les dossiers cachés } DOIT ÊTRE COCHÉ
• Rechercher dans les sous-dossiers } DOIT ÊTRE COCHÉ
*** Supprime :
C:\WINNT\system32\Networksystem.exe
C:\WINNT\system32\ntscan.exe
C:\WINNT\system32\mozilla.exe
*** Supprime les fichiers temporaires avec ce petit programme :
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
Ou manuellement : vide tout le contenu des dossiers en gras :
-- C:\Documents and Settings\ton compte\Local Settings\Temp
-- C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
-- C:\Temp
-- C:\Windows\Temp
-- C:\WINDOWS\Prefetch : Sauf le fichier layout.ini
*** Vide ta corbeille !
Redémarre normalement ton PC. Ensuite, fais un scan AV ici :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends
Lorsque "Ready" est affiché dans "status", coche la case Autoclean et clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici + un nouveau rapport Hijackthis
Tiens-moi au courant !!!! @+++
Tout d'abord, imprime ce message pour ne rien oublier
*** Déconnecte toi d'Internet
*** Vide ton cache Internet :
Panneau de configuration - Options Internet :
- Clique sur "Supprimer les cookies"
- Clique sur "Supprimer les fichiers" en cochant la case
Puis valide ...
*** Désactive la restauration système
Clic droit sur poste de travail - propriétés - onglet Restauration système
Coche "désactiver la restauration système" (accepte le redémarrage).
*** Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8.
Choisis le mode sans échec dans les options et valide avec entrée.
*** Rend visible les fichiers cachés et système :
Panneau de configuration - Options des dossiers - onglet Affichage
Coche " Afficher les fichiers et dossiers cachés "
Décoche " Masquer les extensions des fichiers dont le type est connu"
Décoche " Masquer les fichiers protégés du système" puis valide
*** Toujours en mode sans échec, lance hijackthis et fixe :
(Coche les cases au début des lignes suivantes)
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKLM\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKLM\..\Run: [automsn] ntscan.exe
O4 - HKLM\..\Run: [Hollaback] mozilla.exe
O4 - HKLM\..\RunServices: [automsn] ntscan.exe
O4 - HKLM\..\RunServices: [Hollaback] mozilla.exe
O4 - HKCU\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKCU\..\Run: [Hollaback] mozilla.exe
O4 - HKCU\..\Run: [automsn] ntscan.exe
O4 - HKCU\..\Run: [Arht] C:\Program Files\mirt\oaro.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c1.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
Puis valide avec Fix Checked
*** Recherche et supprime si présent :
[Dans le cas ou tu utiliserais la fonction Rechercher :
Tous les fichiers et tous les dossiers - Options avancées
• Rechercher dans les dossiers systèmes } DOIT ÊTRE COCHÉ
• Rechercher dans les fichiers et les dossiers cachés } DOIT ÊTRE COCHÉ
• Rechercher dans les sous-dossiers } DOIT ÊTRE COCHÉ
*** Supprime :
C:\WINNT\system32\Networksystem.exe
C:\WINNT\system32\ntscan.exe
C:\WINNT\system32\mozilla.exe
*** Supprime les fichiers temporaires avec ce petit programme :
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
Ou manuellement : vide tout le contenu des dossiers en gras :
-- C:\Documents and Settings\ton compte\Local Settings\Temp
-- C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
-- C:\Temp
-- C:\Windows\Temp
-- C:\WINDOWS\Prefetch : Sauf le fichier layout.ini
*** Vide ta corbeille !
Redémarre normalement ton PC. Ensuite, fais un scan AV ici :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends
Lorsque "Ready" est affiché dans "status", coche la case Autoclean et clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici + un nouveau rapport Hijackthis
Tiens-moi au courant !!!! @+++
Utilisateur anonyme
29 juin 2005 à 16:19
29 juin 2005 à 16:19
salut neo,
et celui la?
c:\program files\180searchassistant\
a+
et celui la?
c:\program files\180searchassistant\
a+
Neo-Nil@u
Messages postés
1595
Date d'inscription
jeudi 10 mars 2005
Statut
Contributeur
Dernière intervention
8 août 2005
96
29 juin 2005 à 16:59
29 juin 2005 à 16:59
Salut Régis ! Effectivement, je l'ai oublié ...
C'est les vacances qui me rendent flemmard, lol !!
C'est les vacances qui me rendent flemmard, lol !!
D'abord merci pour la réactivité et la réponse.
Mais j'ai un problème !!! Impossible de redémarrer en mode sans échec !
Le PC se bloque au tout début du mode. Le curseur clignote tout en haut de l'écran et le clavier ne répond plus :-(
Obligé de "reseter" pour relancer la bestiole.
KoiKeJeFé now ???
Je fais les manips en mode normal ?
Merci encore.
Mais j'ai un problème !!! Impossible de redémarrer en mode sans échec !
Le PC se bloque au tout début du mode. Le curseur clignote tout en haut de l'écran et le clavier ne répond plus :-(
Obligé de "reseter" pour relancer la bestiole.
KoiKeJeFé now ???
Je fais les manips en mode normal ?
Merci encore.
Utilisateur anonyme
29 juin 2005 à 16:31
29 juin 2005 à 16:31
salut
c'est normal, parfois il faut plusieurs minutes avant d'avoir l'ecran d'acceuil.
a+
c'est normal, parfois il faut plusieurs minutes avant d'avoir l'ecran d'acceuil.
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
29 juin 2005 à 16:45
29 juin 2005 à 16:45
salut, pour le clavier je sais pas, mais je pense que ce doit etre normal, mais quelques fois il faut + de 10 mn pour passer de l'ecran noir à l'ecran d'acceuil.
Utilisateur anonyme
29 juin 2005 à 17:14
29 juin 2005 à 17:14
bon, fais la premiere partie de la manip de neo en mode normal et quand tu arrives à la suppression des fichiers:
Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
l'aide détaillé de la manip est téléchargeable ici:
http://get.yourfile.net/qn53063.zip
deconnecte toi d'internet:
1- Double-clic sur KillBox.exe
2- ouvre le bloc notes et copie la liste en gras ci-dessous
3- Selectionne "Delete on Reboot"
4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit
dessus et clic sur copier
5- reviens sur killbox, et dans le menu du haut clic sur tool, puis sur paste from clipboard
5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur
OUI
liste:
C:\WINNT\system32\Networksystem.exe
C:\WINNT\system32\ntscan.exe
C:\WINNT\system32\mozilla.exe
C:\Program Files\mirt\oaro.exe
c:\program files\180searchassistant\salmhook.dll
apres le redemarrage, tu supprime :
C:\Program Files\mirt\oaro.exe
c:\program files\180searchassistant
a+
Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
l'aide détaillé de la manip est téléchargeable ici:
http://get.yourfile.net/qn53063.zip
deconnecte toi d'internet:
1- Double-clic sur KillBox.exe
2- ouvre le bloc notes et copie la liste en gras ci-dessous
3- Selectionne "Delete on Reboot"
4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit
dessus et clic sur copier
5- reviens sur killbox, et dans le menu du haut clic sur tool, puis sur paste from clipboard
5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur
OUI
liste:
C:\WINNT\system32\Networksystem.exe
C:\WINNT\system32\ntscan.exe
C:\WINNT\system32\mozilla.exe
C:\Program Files\mirt\oaro.exe
c:\program files\180searchassistant\salmhook.dll
apres le redemarrage, tu supprime :
C:\Program Files\mirt\oaro.exe
c:\program files\180searchassistant
a+
Bon j'ai fait tout ce que tu voulais.
Voilà une nouvelle analyse de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 17:36:05, on 29/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wintab32.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\WINNT\W2acecad\Wtxpload.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\W2acecad\xpoint32.exe
C:\WINNT\system32\Networksystem.exe
C:\WINNT\system32\ntscan.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
C:\WINNT\system32\ntscan.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
C:\Documents and Settings\Administrateur\msnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [W2acecad.Wtxpload] C:\WINNT\W2acecad\Wtxpload.exe acecad
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKLM\..\Run: [automsn] ntscan.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [automsn] ntscan.exe
O4 - HKCU\..\Run: [iolo Task Agent] C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
O4 - HKCU\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKCU\..\Run: [automsn] ntscan.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c1.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINNT\System32\wintab32.exe
Par contre j'ai toujours une page IE qui veux se connecter à chaque démarrage "yomanda" !!!
J'utilise FireFox comme browser.
Merci encore à vous ;-))
Voilà une nouvelle analyse de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 17:36:05, on 29/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wintab32.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\WINNT\W2acecad\Wtxpload.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\W2acecad\xpoint32.exe
C:\WINNT\system32\Networksystem.exe
C:\WINNT\system32\ntscan.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
C:\WINNT\system32\ntscan.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
C:\Documents and Settings\Administrateur\msnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [W2acecad.Wtxpload] C:\WINNT\W2acecad\Wtxpload.exe acecad
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKLM\..\Run: [automsn] ntscan.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [automsn] ntscan.exe
O4 - HKCU\..\Run: [iolo Task Agent] C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
O4 - HKCU\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKCU\..\Run: [automsn] ntscan.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c1.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINNT\System32\wintab32.exe
Par contre j'ai toujours une page IE qui veux se connecter à chaque démarrage "yomanda" !!!
J'utilise FireFox comme browser.
Merci encore à vous ;-))
Utilisateur anonyme
29 juin 2005 à 18:23
29 juin 2005 à 18:23
bon, pas trop d'amelioration :-(
ca va etre dur sans le mode sans echecs.
essaye ceci:
ouvre le gestionnaire des taches ctrl+alt+suppr
arrete ces processus:
Networksystem.exe
ntscan.exe
ntscan.exe
(clic droit dessus, puis clic sur terminer le processus)
lance hijackthis, coche et fixe:
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKLM\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKLM\..\Run: [automsn] ntscan.exe
O4 - HKLM\..\RunServices: [automsn] ntscan.exe
O4 - HKCU\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKCU\..\Run: [automsn] ntscan.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c1.cab
rend visibles tous les fichiers et dossiers
Poste de travail > Outils >Options des dossiers
Onglet "Affichage"
Sous "Fichiers et dossiers cachés", cocher "Afficher les fichiers et dossiers cachés"
Désélectionner "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Désélectionner "Masquer les extensions des fichiers dont le type est connu"
Cliquez sur Oui dans la boîte de dialogue qui vous demande confirmation de votre choix.
recherche et supprime:
C:\WINNT\system32\Networksystem.exe
C:\WINNT\system32\ntscan.exe
si tu ne les trouvent pas, ou ne se laissent pas virer, refais la manip avec killbox.
redemarre le pc et ensuite fais un scan AV ici:
http://www.ravantivirus.com/scan/
Clic sur "To continue without subscribing click here"
Accepte le control active x
Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis
a+
ca va etre dur sans le mode sans echecs.
essaye ceci:
ouvre le gestionnaire des taches ctrl+alt+suppr
arrete ces processus:
Networksystem.exe
ntscan.exe
ntscan.exe
(clic droit dessus, puis clic sur terminer le processus)
lance hijackthis, coche et fixe:
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKLM\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKLM\..\Run: [automsn] ntscan.exe
O4 - HKLM\..\RunServices: [automsn] ntscan.exe
O4 - HKCU\..\Run: [Microsoft Network] Networksystem.exe
O4 - HKCU\..\Run: [automsn] ntscan.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c1.cab
rend visibles tous les fichiers et dossiers
Poste de travail > Outils >Options des dossiers
Onglet "Affichage"
Sous "Fichiers et dossiers cachés", cocher "Afficher les fichiers et dossiers cachés"
Désélectionner "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Désélectionner "Masquer les extensions des fichiers dont le type est connu"
Cliquez sur Oui dans la boîte de dialogue qui vous demande confirmation de votre choix.
recherche et supprime:
C:\WINNT\system32\Networksystem.exe
C:\WINNT\system32\ntscan.exe
si tu ne les trouvent pas, ou ne se laissent pas virer, refais la manip avec killbox.
redemarre le pc et ensuite fais un scan AV ici:
http://www.ravantivirus.com/scan/
Clic sur "To continue without subscribing click here"
Accepte le control active x
Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis
a+
Bon me revoilou :-))
Alors après les dernières manips sus-dites voilà le résultat :
Analyse en ligne :
Scan started at 29/06/2005 18:50:54
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINNT\tmlpmg.exe - TrojanDownloader:Win32/Wintrim.CD -> Infected
C:\WINNT\system32\msklive.dll - TrojanSpy:Win32/Mslagent -> Infected
Analyse hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 19:21:57, on 29/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wintab32.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\WINNT\W2acecad\Wtxpload.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\W2acecad\xpoint32.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [W2acecad.Wtxpload] C:\WINNT\W2acecad\Wtxpload.exe acecad
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [iolo Task Agent] C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINNT\System32\wintab32.exe
Voilà à votre bon coeur M'ssieurs-dames ;-))
Alors après les dernières manips sus-dites voilà le résultat :
Analyse en ligne :
Scan started at 29/06/2005 18:50:54
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINNT\tmlpmg.exe - TrojanDownloader:Win32/Wintrim.CD -> Infected
C:\WINNT\system32\msklive.dll - TrojanSpy:Win32/Mslagent -> Infected
Analyse hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 19:21:57, on 29/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wintab32.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\WINNT\W2acecad\Wtxpload.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\W2acecad\xpoint32.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [W2acecad.Wtxpload] C:\WINNT\W2acecad\Wtxpload.exe acecad
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [iolo Task Agent] C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINNT\System32\wintab32.exe
Voilà à votre bon coeur M'ssieurs-dames ;-))
j'en ai d'autres :-(((((
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\actalert.exe - TrojanDownloader:Win32/Dyfuca.DP -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\install.exe - TrojanDownloader:Win32/Dyfuca.DY -> Infected
bouuuuuuuuuuuuuuuuuuuh ;-(((
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\actalert.exe - TrojanDownloader:Win32/Dyfuca.DP -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\install.exe - TrojanDownloader:Win32/Dyfuca.DY -> Infected
bouuuuuuuuuuuuuuuuuuuh ;-(((
Utilisateur anonyme
29 juin 2005 à 19:34
29 juin 2005 à 19:34
ah, c'est déjà mieux
pour le scan de rav, tu peux mettre le rapport entier ici
a+
pour le scan de rav, tu peux mettre le rapport entier ici
a+
jipicy
Messages postés
40842
Date d'inscription
jeudi 28 août 2003
Statut
Modérateur
Dernière intervention
10 août 2020
4 897
30 juin 2005 à 16:04
30 juin 2005 à 16:04
Re-
Bon désolé pour le retard, mais hier j'ai du interrompre le scan (départ, j'étais pas chez moi).
Voici donc la suite :
Scan started at 30/06/2005 13:48:41
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINNT\tmlpmg.exe - TrojanDownloader:Win32/Wintrim.CD -> Infected
C:\WINNT\system32\msklive.dll - TrojanSpy:Win32/Mslagent -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\actalert.exe - TrojanDownloader:Win32/Dyfuca.DP -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\install.exe - TrojanDownloader:Win32/Dyfuca.DY -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\6RARU5YJ\optimize313[1].exe - TrojanDownloader:Win32/Dyfuca.DX -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\85QFSX6N\rogue[1].exe - Trojan:Win32/Small.CY -> Infected
G:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
G:\Program Files\Yegkvz\Cxyfa.exe - Trojan:Win32/Small.CY -> Infected
Scanned
============================
Objects: 100896
Directories: 4962
Archives: 3496
Size(Kb): -267025
Infected files: 7
Found
============================
Viruses found: 6
Suspicious files: 1
Disinfected files: 0
Mail files: 338
Merci encore pour votre aide ;-)
Bon désolé pour le retard, mais hier j'ai du interrompre le scan (départ, j'étais pas chez moi).
Voici donc la suite :
Scan started at 30/06/2005 13:48:41
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINNT\tmlpmg.exe - TrojanDownloader:Win32/Wintrim.CD -> Infected
C:\WINNT\system32\msklive.dll - TrojanSpy:Win32/Mslagent -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\actalert.exe - TrojanDownloader:Win32/Dyfuca.DP -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\install.exe - TrojanDownloader:Win32/Dyfuca.DY -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\6RARU5YJ\optimize313[1].exe - TrojanDownloader:Win32/Dyfuca.DX -> Infected
G:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\85QFSX6N\rogue[1].exe - Trojan:Win32/Small.CY -> Infected
G:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
G:\Program Files\Yegkvz\Cxyfa.exe - Trojan:Win32/Small.CY -> Infected
Scanned
============================
Objects: 100896
Directories: 4962
Archives: 3496
Size(Kb): -267025
Infected files: 7
Found
============================
Viruses found: 6
Suspicious files: 1
Disinfected files: 0
Mail files: 338
Merci encore pour votre aide ;-)
Utilisateur anonyme
30 juin 2005 à 16:15
30 juin 2005 à 16:15
salut
telecharge
ChaosShredder
http://www.safechaos.com/download/cs-fr.exe
et supprime les fichiers infectés comme ceci:
http://pageperso.aol.fr/balltrap34/demochaos.htm
C:\WINNT\tmlpmg.exe
C:\WINNT\system32\msklive.dll
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\actalert.exe
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\install.exe
G:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\6RARU5YJ\optimize313[1].exe
G:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\85QFSX6N\rogue[1].exe
G:\Program Files\Yegkvz\Cxyfa.exe
celui ci, apparement c'est un faux positif de rav
G:\Program Files\WinRAR\Uninstall.exe
donc n'y touche pas.
une fois fait, redemarre ton pc et refais un scan de controle chez rav
a+
telecharge
ChaosShredder
http://www.safechaos.com/download/cs-fr.exe
et supprime les fichiers infectés comme ceci:
http://pageperso.aol.fr/balltrap34/demochaos.htm
C:\WINNT\tmlpmg.exe
C:\WINNT\system32\msklive.dll
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\actalert.exe
G:\Documents and Settings\Administrateur\Local Settings\Temp\temp.fr03DD\install.exe
G:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\6RARU5YJ\optimize313[1].exe
G:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\85QFSX6N\rogue[1].exe
G:\Program Files\Yegkvz\Cxyfa.exe
celui ci, apparement c'est un faux positif de rav
G:\Program Files\WinRAR\Uninstall.exe
donc n'y touche pas.
une fois fait, redemarre ton pc et refais un scan de controle chez rav
a+
jipicy
Messages postés
40842
Date d'inscription
jeudi 28 août 2003
Statut
Modérateur
Dernière intervention
10 août 2020
4 897
30 juin 2005 à 19:35
30 juin 2005 à 19:35
Bon ça à l'air bon, voilà ce qu'il m'a détecté :
G:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
Merci à vous.
G:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
Merci à vous.
jipicy
Messages postés
40842
Date d'inscription
jeudi 28 août 2003
Statut
Modérateur
Dernière intervention
10 août 2020
4 897
30 juin 2005 à 20:22
30 juin 2005 à 20:22
ou en sont tes problemes ?
J'ai des problèmes moi ???
Si c'est du mode sans échec dont tu veux parler, ben je pense pas que ce soit lié !!! Mais peut être me trompe-je !
Quoiqu'il en soit thanks again ;-)
Voilà la dernière analyse hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 19:41:41, on 30/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wintab32.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\WINNT\W2acecad\Wtxpload.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\W2acecad\xpoint32.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINNT\system32\spoolsorf.exe
C:\WINNT\system32\scrsave.scr
C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AIM\aim.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [W2acecad.Wtxpload] C:\WINNT\W2acecad\Wtxpload.exe acecad
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Windows Spoolsorf Service] spoolsorf.exe
O4 - HKLM\..\Run: [MS Screen Saver] scrsave.scr
O4 - HKLM\..\RunServices: [Windows Spoolsorf Service] spoolsorf.exe
O4 - HKLM\..\RunServices: [MS Screen Saver] scrsave.scr
O4 - HKCU\..\Run: [iolo Task Agent] C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
O4 - HKCU\..\Run: [MS Screen Saver] scrsave.scr
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINNT\System32\wintab32.exe
PS. Je ne suis pas devant le PC (infecté) là, je fais tout ça par "messagerie" interposée et "vnc", donc pour toute manip avec reboot, je n'ai pas accés aux physiquement à la machina.
J'ai des problèmes moi ???
Si c'est du mode sans échec dont tu veux parler, ben je pense pas que ce soit lié !!! Mais peut être me trompe-je !
Quoiqu'il en soit thanks again ;-)
Voilà la dernière analyse hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 19:41:41, on 30/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wintab32.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\WINNT\W2acecad\Wtxpload.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\W2acecad\xpoint32.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINNT\system32\spoolsorf.exe
C:\WINNT\system32\scrsave.scr
C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AIM\aim.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [W2acecad.Wtxpload] C:\WINNT\W2acecad\Wtxpload.exe acecad
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Windows Spoolsorf Service] spoolsorf.exe
O4 - HKLM\..\Run: [MS Screen Saver] scrsave.scr
O4 - HKLM\..\RunServices: [Windows Spoolsorf Service] spoolsorf.exe
O4 - HKLM\..\RunServices: [MS Screen Saver] scrsave.scr
O4 - HKCU\..\Run: [iolo Task Agent] C:\Program Files\iolo\Common\Task Agent\Task_Agent.exe
O4 - HKCU\..\Run: [MS Screen Saver] scrsave.scr
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINNT\System32\wintab32.exe
PS. Je ne suis pas devant le PC (infecté) là, je fais tout ça par "messagerie" interposée et "vnc", donc pour toute manip avec reboot, je n'ai pas accés aux physiquement à la machina.
Utilisateur anonyme
30 juin 2005 à 20:32
30 juin 2005 à 20:32
salut
ah ok, je savais pas que tu passais par vnc
2 petits nouveaux dans le hijack!
spoolsorf.exe et scrsave.scr
bon, vu que tu ne peux pas demarrer en sans echec:
si possible faudrait faire la manip hors connection....
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
clic sur ok pour valider
Vérifier si ce ou ces procéssus apparaissent dans le gestionnaire des taches.(CTRL+ALT+SUPPR)
S'ils sont présent: clic droit dessus puis clic sur "terminer le processus"
spoolsorf.exe
scrsave.scr
lance hijackthis, et coche et fixe
O4 - HKLM\..\Run: [Windows Spoolsorf Service] spoolsorf.exe
O4 - HKLM\..\Run: [MS Screen Saver] scrsave.scr
O4 - HKLM\..\RunServices: [Windows Spoolsorf Service] spoolsorf.exe
O4 - HKLM\..\RunServices: [MS Screen Saver] scrsave.scr
O4 - HKCU\..\Run: [MS Screen Saver] scrsave.scr
recherche et supprime:
C:\WINNT\system32\spoolsorf.exe
C:\WINNT\system32\scrsave.scr
redemarre le pc et reposte un hijack
a+
ah ok, je savais pas que tu passais par vnc
2 petits nouveaux dans le hijack!
spoolsorf.exe et scrsave.scr
bon, vu que tu ne peux pas demarrer en sans echec:
si possible faudrait faire la manip hors connection....
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
clic sur ok pour valider
Vérifier si ce ou ces procéssus apparaissent dans le gestionnaire des taches.(CTRL+ALT+SUPPR)
S'ils sont présent: clic droit dessus puis clic sur "terminer le processus"
spoolsorf.exe
scrsave.scr
lance hijackthis, et coche et fixe
O4 - HKLM\..\Run: [Windows Spoolsorf Service] spoolsorf.exe
O4 - HKLM\..\Run: [MS Screen Saver] scrsave.scr
O4 - HKLM\..\RunServices: [Windows Spoolsorf Service] spoolsorf.exe
O4 - HKLM\..\RunServices: [MS Screen Saver] scrsave.scr
O4 - HKCU\..\Run: [MS Screen Saver] scrsave.scr
recherche et supprime:
C:\WINNT\system32\spoolsorf.exe
C:\WINNT\system32\scrsave.scr
redemarre le pc et reposte un hijack
a+