probleme trojan

Question

bonjour,

tout d'abord merci pour votre collaboration, le site est super.

mon soucis est le suivant : je n'arrive pas à erradiquer 2 trojans (trojanclicker et trojan psw)

j'ai tout essayé : mode sans schec, pas de restauration systeme, adaware, spybot, a2, ravantivirus (qui ne detecte rien)

et a chaque connexion sur IE, mes 2 nouveaux amis reviennent à la charge.

que puis-je y faire ?

merci pour votre aide

jean38 · Answer

salut,

telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

a+

Dark Vador 33 · Answer

re, voici le resultat

Logfile of HijackThis v1.99.1
Scan saved at 21:37:47, on 29/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\dwwin.exe
C:\Documents and Settings\Guillaume\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O10 - Broken Internet access because of LSP provider 'c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll' missing
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe

jean38 · Answer

et bien il n'y a rien d'anormal dans ton log.

tu dis

"a chaque connexion sur IE, mes 2 nouveaux amis reviennent à la charge. "

comment le sais tu?
comment se manifestent ils?

note tout car etrange que meme rav ne trouve rien et tous les autres.

Dark Vador 33 · Answer

j'ai une alerte par mon av, qui m'indique que les trojans se trouvent en c:\windows\system32

leurs noms : cisvvc.exe et drv2cltr.dll

et chaque fois ça revient

en + j'ai des pages qui s'affichent toutes seules...

Dark Vador 33 · Answer

ca me gave fortement

jean38 · Answer

et bien c'est surprenant car ton log ne laisse pas apparaitre ces 2 bestiols.

?????

dis moi, je vois que tu as securitoo comme AV n'est ce pas?

par contre, il reste des trace de bulletproofsoft (anti spy), c'est toi qui l'a ou l'avais installé?

qu'est il devenu?

Dark Vador 33 · Answer

franchement je ne me rappelle pas mais c'est possible car j'en peu plus de ces virus et autres trojans

Dark Vador 33 · Answer

ca pose pb ?

jean38 · Answer

dans le doute je fixerais dans hijack la ligneO10 - Broken Internet access because of LSP provider 'c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll' missing

moe31 · Answer

salut

pour bulletproof, jete un oeil ici:
http://assiste.free.fr/p/internet_utilitaires/bps.php

il en reste des traces dans ton hijack.

telecharge lspfix
http://www.cexx.org/LSPFix.exe
lance LSPFIX

cas n°1
Coche 'I know what I'm doing'
Dans la colonne de gauche(KEEP) selectionne le fichier apptoport.dll (et surtout rien d'autre, attention !) et tu le fais passer dans la colonne de droite (REMOVE).
(tu peux le faire glisser avec la souris ou te servir des fleches dans la barre du milieu).
clic sur finish.

cas n°2
le fichier apptoport.dll se trouve déjà dans REMOVE
Coche 'I know what I'm doing'
clic sur finish.

Redemarre ton pc

tu peux reposter un hijack, mais apres t'etre connecté et avoir ouvert IE?

telecharge aussi startdreck:
http://www.niksoft.at/php/dl.php?f=startdreck.zip

dezippe le et lance startdreck.exe
Clic sur config
clic sur unmarck all

dans la colonne registry coche:
- run keys
- file associations
- internet explorer
- shellServicesObjectDelayLoad

dans la colonne Files coche:
- autostart folders

dans la colonne System/drivers coche:
- running processes

Valide ok et clic sur refresh
Maintenant, clique sur save pour enregistrer le log.
poste le resultat du log.

Dark Vador 33 · Answer

ok mais y veut pas me le fixeril me demande de charger lspfix, tu connais ?

jean38 · Answer

merci moe j'avoue que là je commencais vraiment à caller.

jean38 · Answer

suis moe, il l'avait anticipé.trop fort non??lol

moe31 · Answer

lolje crois que ce post va pas etre facile du tout...

Dark Vador 33 · Answer

re et salut moe et merci pour ton aide

ya bien apptoport dans remove, et voici le hijack

Logfile of HijackThis v1.99.1
Scan saved at 22:34:01, on 29/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\dwwin.exe
C:\Documents and Settings\Guillaume\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe

moe31 · Answer

saluttu l'a fais apres t'etre connecté ou hors connection ?poste aussi le log de startdrecka+

Dark Vador 33 · Answer

apres m'etre connecté

moe31 · Answer

bon, rien dans hijack

telecharge startdreck:
http://www.niksoft.at/php/dl.php?f=startdreck.zip

dezippe le et lance startdreck.exe
Clic sur config
clic sur unmarck all

dans la colonne registry coche:
- run keys
- file associations
- internet explorer
- shellServicesObjectDelayLoad

dans la colonne Files coche:
- autostart folders

dans la colonne System/drivers coche:
- running processes

Valide ok et clic sur refresh
Maintenant, clique sur save pour enregistrer le log.
poste le resultat du log.

Dark Vador 33 · Answer

log startdreck

StartDreck (build 2.1.7 public stable) - 2005-06-29 @ 22:51:57 (GMT +02:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 1)
Internet Explorer: 6.0.2800.1106
Logged in as Guillaume at DELL

»Registry
»Run Keys
»Current User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
*MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
»Local Machine
»Run
*F-Secure Manager="C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
*F-Secure TNB="C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
*FSASWREG="C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.disabled
*SpybotSD.DisabledFile="D:\Program Files\Spybot\Spybot - Search & Destroy\blindman.exe" "%1"
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\System32\mshta.exe "%1" %*
+.htm
*htmlfile="C:\Program Files\Internet Explorer\iexplore.exe" -nohome
+.html
*htmlfile="C:\Program Files\Internet Explorer\iexplore.exe" -nohome
+.js
*JSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.jse
*JSEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1
+.vbs
*VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.vbe
*VBEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsh
*WSHFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsf
*WSFFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Internet Explorer
»Current User
*Local Page=C:\WINDOWS\System32\blank.htm
*Start Page=http://www.google.fr/
+SearchUrl
*Provider=
»Default User
»Local Machine
*Default_Page_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
*Local Page=%SystemRoot%\system32\blank.htm
*Start Page=about:blank
*CustomizeSearch=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
*SearchAssistant=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
»ShellServiceObjectDelayLoad (LM)
*PostBootReminder={7849596a-48ea-486e-8937-a2a3009f31a9}
`InprocServer32=%SystemRoot%\system32\SHELL32.dll
*CDBurn={fbeb8a05-beee-4442-804e-409d6c4515e9}
`InprocServer32=%SystemRoot%\system32\SHELL32.dll
*WebCheck={E6FB5E20-DE35-11CF-9C87-00AA005127ED}
`InprocServer32=%SystemRoot%\System32\webcheck.dll
*SysTray={35CEC8A3-2BE6-11D2-8773-92E220524153}
`InprocServer32=C:\WINDOWS\System32\stobject.dll
»Files
»Autostart Folders
»Current User
*C:\Documents and Settings\Guillaume\Menu Démarrer\Programmes\Démarrage\desktop.ini
»Default User
*C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\desktop.ini
»Local Machine
*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\desktop.ini
*C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+496=\SystemRoot\System32\smss.exe
+732=\??\C:\WINDOWS\system32\csrss.exe
+760=\??\C:\WINDOWS\system32\winlogon.exe
+808=C:\WINDOWS\system32\services.exe
+820=C:\WINDOWS\system32\lsass.exe
+1116=C:\WINDOWS\system32\svchost.exe
+1248=C:\WINDOWS\System32\svchost.exe
+1384=C:\WINDOWS\System32\svchost.exe
+1400=C:\WINDOWS\System32\svchost.exe
+1736=C:\WINDOWS\system32\spoolsv.exe
+1836=C:\WINDOWS\System32\alg.exe
+1848=C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE
+1868=C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
+1892=C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
+1928=C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe
+1948=C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
+136=C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
+452=C:\WINDOWS\System32\svchost.exe
+604=C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
+120=C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
+1320=C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe
+1580=C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
+1864=C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
+372=C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
+1628=C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe
+3164=C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
+3384=C:\WINDOWS\System32\devldr32.exe
+3408=C:\WINDOWS\System32\ctfmon.exe
+3572=C:\Program Files\Messenger\msmsgs.exe
+3816=C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
+2244=C:\Program Files\Outlook Express\msimn.exe
+1936=C:\WINDOWS\System32\wuauclt.exe
+2596=C:\WINDOWS\System32\wuauclt.exe
+176=C:\Program Files\Internet Explorer\iexplore.exe
+2284=C:\WINDOWS\System32\dwwin.exe
+2304=C:\Documents and Settings\Guillaume\Bureau\HijackThis.exe
+2636=C:\Program Files\WinRAR\WinRAR.exe
+3204=C:\DOCUME~1\GUILLA~1\LOCALS~1\Temp\Rar$EX00.640\StartDreck.exe
+4080=C:\WINDOWS\System32\taskmgr.exe
+620=C:\WINDOWS\explorer.exe
+3060=C:\DOCUME~1\GUILLA~1\LOCALS~1\Temp\Rar$EX77.171\StartDreck.exe
»Application specific

Dark Vador 33 · Answer

en plus j'ai un message windows (iexplore.exe a rencontré un pb blablablabla)c'est fou cette histoire

Dark Vador 33 · Answer

et encore en bas à droite un message me disant (en anglais svp) que mon pc est infesté par des spywares........... trop cool

moe31 · Answer

startdreck ne nous en apprendra pas plus qu'hijack apparement, on passe à autre chose:tu peux supprimer startdreck.telecharge silentrunner ici:http://www.silentrunners.org/Silent%20Runners.vbslance silentrunners.vbs et poste son rapport.je me doutais que ca aller pas etre facile lola+

Dark Vador 33 · Answer

voici le resultat"Silent Runners.vbs", revision 39, http://www.silentrunners.org/Operating System: Windows XPOutput limited to non-default values, except where indicated by "{++}"Startup items buried in registry:---------------------------------HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"F-Secure Manager" = ""C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash" ["F-Secure Corporation"]"F-Secure TNB" = ""C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW" ["F-Secure Corporation"]"hgqhp.exe" = "C:\WINDOWS\System32\hgqhp.exe" [file not found]"FSASWREG" = ""C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"" [null data]HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"  -> {CLSID}\InProcServer32\(Default) = "D:\Programmes\Office XP\Office10\msohev.dll" [MS]"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\INFECTION WARNING! "System" = "cscka.exe" [null data]HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\INFECTION WARNING! NavLogon\DLLName = "C:\WINDOWS\System32\NavLogon.dll" [null data]HKLM\Software\Classes\*\shellex\ContextMenuHandlers\LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]Active Desktop and Wallpaper:-----------------------------Active Desktop is disabled at this entry:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellStateHKCU\Control Panel\Desktop\"Wallpaper" = "C:\Documents and Settings\Guillaume\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"Startup items in "Guillaume" & "All Users" startup folders:-----------------------------------------------------------C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage"Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g" -> shortcut to: "C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe" [" "]Winsock2 Service Provider DLLs:-------------------------------Namespace Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]Transport Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05Miscellaneous IE Hijack Points------------------------------C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")Added lines (compared with English-language version):[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"Missing lines (compared with English-language version):[Strings]: 1 lineRunning Services (Display Name, Service Name, Path {Service DLL}):------------------------------------------------------------------EPSON Printer Status Agent2, EPSONStatusAgent2, "C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe" ["SEIKO EPSON CORPORATION"]F-Secure Distributed Firewall Daemon, FSDFWD, ""C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe"" ["F-Secure Corporation"]F-Secure Gatekeeper Handler Starter, F-Secure Gatekeeper Handler Starter, ""C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe"" ["F-Secure Corp."]F-Secure Management Agent, FSMA, ""C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE"" ["F-Secure Corporation"]fsbwsys, fsbwsys, ""C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe"" ["F-Secure Corp."]Securitoo AntiVirus Firewall, BackWeb Client - 1044199, "C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE" [null data]----------+ This report excludes default entries except where indicated.+ To see *everywhere* the script checks and *everything* it finds,  launch it from a command prompt or a shortcut with the -all parameter.+ The search for DESKTOP.INI DLL launch points on all local fixed drives  took 38 seconds.+ The search for all Registry CLSIDs containing dormant Explorer Bars  took 32 seconds.---------- (total run time: 135 seconds)

moe31 · Answer

bingo !bon y a du neuf !est ce que tu peux rechercher ce fichier et me dire ou il se trouve:cscka.exeni touche pas pour l'instant

Dark Vador 33 · Answer

nulle part....

Dark Vador 33 · Answer

je relance sans le .exe

Dark Vador 33 · Answer

tjs rien moe

moe31 · Answer

ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous: REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "hgqhp.exe"=- Puis enregistrer sous(choisis le bureau): Nom du fichier, met fix.reg Type de fichier: selectionne "tous les fichiers" clic sur enregistrer ensuite double clic sur fix.reg et accepte de fusionner une fois fais, redemarre en mode sans echecs: Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows. Choisis le mode sans échec dans les options et valide avec entrée. Rend visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher " afficher les fichiers et dossiers cachés " Décocher " masquer les extentions des fichiers dont le type est connu Décocher " masquer les fichiers protégés du système" clic sur ok pour valider Recherche et supprime: Dans le cas ou tu utiliserais la fonction Rechercher: Assure toi que dans: Tous les fichiers et tous les dossiers >> Options avancées • Rechercher dans les dossiers systemes <- DOIT ETRE COCHE ! • Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE ! • Rechercher dans les sous-dossiers <- DOIT ETRE COCHE ! Essaye de supprimer les fichiers en suivant le chemin des fichiers infectés avec l'explorateur, plutot que d'utiliser la fonction "Rechercher" C:\WINDOWS\system32\cisvvc.exe C:\WINDOWS\system32\drv2cltr.dll C:\WINDOWS\System32\hgqhp.exe C:\WINDOWS\cscka.exe ou C:\WINDOWS\System32\cscka.exe redemarre le pc normallement et dis nous si tu as encore des pages a chaque fois que tu lance IE. Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers. Pour des raisons de sécurité, laisse visible les extentions des fichiers et les fichiers cachés. a+

Dark Vador 33 · Answer

impossible de trouver les fichiers cisvvc.exe etctjs le meme pb au redemarragedesespere....

Dark Vador 33 · Answer

ca me saoule grave

Dark Vador 33 · Answer

j'vais me coucher merci encoreen esperant qu'on va le résoudre ce pb....a+

moe31 · Answer

salutdur, durest ce que tu recois encore des alertes trojanclicker et trojan psw ?sur quel fichiers ?est ce que les 2 memes que tu n'a pas pu supprimer sont de retours ?C:\WINDOWS\system32\cisvvc.exe C:\WINDOWS\system32\drv2cltr.dll et telecharge pfind new ici:http://www.bleepingcomputer.com/files/grinler/pfind-new.zipredemarre en mode sans echecs:lance silentrunners et enregistre le logdouble clic sur pfind.bat, et enregistre le logredemarre normallement et poste les 2 rapports.a+

Dark Vador 33 · Answer

salut, suis de retour avec tantantan tjs les mêmes pb aux memes endroitsvoici le logsilentrunners"Silent Runners.vbs", revision 39, http://www.silentrunners.org/Operating System: Windows XPOutput limited to non-default values, except where indicated by "{++}"Startup items buried in registry:---------------------------------HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"F-Secure Manager" = ""C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash" ["F-Secure Corporation"]"F-Secure TNB" = ""C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW" ["F-Secure Corporation"]"FSASWREG" = ""C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"" [null data]HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"  -> {CLSID}\InProcServer32\(Default) = "D:\Programmes\Office XP\Office10\msohev.dll" [MS]"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\INFECTION WARNING! "System" = "cslfv.exe" [null data]HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\INFECTION WARNING! NavLogon\DLLName = "C:\WINDOWS\System32\NavLogon.dll" [null data]HKLM\Software\Classes\*\shellex\ContextMenuHandlers\LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]Active Desktop and Wallpaper:-----------------------------Active Desktop is disabled at this entry:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellStateHKCU\Control Panel\Desktop\"Wallpaper" = "C:\Documents and Settings\Guillaume\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"Startup items in "Guillaume" & "All Users" startup folders:-----------------------------------------------------------C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage"Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g" -> shortcut to: "C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe" [" "]Winsock2 Service Provider DLLs:-------------------------------Namespace Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]Transport Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05Miscellaneous IE Hijack Points------------------------------C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")Added lines (compared with English-language version):[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"Missing lines (compared with English-language version):[Strings]: 1 lineAll Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):---------------------------------------------------------------------------ASP.NET State Service, aspnet_state, "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe" [MS]Carte de performance WMI, WmiApSrv, "C:\WINDOWS\System32\wbem\wmiapsrv.exe" [MS]EPSON Printer Status Agent2, EPSONStatusAgent2, "C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe" ["SEIKO EPSON CORPORATION"]F-Secure Authentication Agent, FSAA, ""C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE"" [file not found]F-Secure Distributed Firewall Daemon, FSDFWD, ""C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe"" ["F-Secure Corporation"]F-Secure Gatekeeper Handler Starter, F-Secure Gatekeeper Handler Starter, ""C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe"" ["F-Secure Corp."]F-Secure Management Agent, FSMA, ""C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE"" ["F-Secure Corporation"]F-Secure Windows Security Center Legacy Detection Service, Fswsclds, "C:\Program Files\Securitoo\av_fw\fswsclds.exe" ["F-Secure Corporation"]fsbwsys, fsbwsys, ""C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe"" ["F-Secure Corp."]Gestion d'applications, AppMgmt, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\appmgmts.dll" [file not found]}Securitoo AntiVirus Firewall, BackWeb Client - 1044199, "C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE" [null data]Service d'administration du Gestionnaire de disque logique, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]----------+ This report excludes default entries except where indicated.+ To see *everywhere* the script checks and *everything* it finds,  launch it from a command prompt or a shortcut with the -all parameter.+ The search for DESKTOP.INI DLL launch points on all local fixed drives  took 39 seconds.+ The search for all Registry CLSIDs containing dormant Explorer Bars  took 15 seconds.---------- (total run time: 92 seconds) et voici le log pfindFiles found with this application may be legitimate. Only remove files that you know are malware related.   Checking the C: folder   Checking the C:\Program Files folder   Checking the C:\WINDOWS folder   Checking the C:\WINDOWS\SYSTEM32 folder   Checking all directories under the C:\WINDOWS\SYSTEM32\drivers folder   Checking the C:\Documents and Settings\All Users\Start Menu\programs\Startup\ folder      Checking the C:\Documents and Settings\All Users\Application Data folder     Checking the C:\Documents and Settings\Guillaume\Start Menu\programs\Startup\ folder     Checking the C:\Documents and Settings\Guillaume\Application Data folder     Checking the Windows folder for system and hidden files within the last 60 days  C:\WINDOWS\   bootstat.dat   Thu 30 Jun 2005  19:00:00   A.S..          2 048     2,00 KC:\WINDOWS\INF\   oem16.inf      Tue 14 Jun 2005  19:07:42   ...H.              0     0,00 K   oem17.inf      Fri 24 Jun 2005  17:54:50   ...H.              0     0,00 KC:\WINDOWS\TASKS\   sa.dat         Thu 30 Jun 2005  18:59:10   A..H.              6     0,00 KC:\WINDOWS\SYSTEM32\CONFIG\   system.log     Thu 30 Jun 2005  18:59:16   A..H.        933 888   912,00 K   software.log   Thu 30 Jun 2005  18:59:16   A..H.        147 456   144,00 K   default.log    Thu 30 Jun 2005  18:59:16   A..H.          8 192     8,00 K   sam.log        Thu 30 Jun 2005  19:00:12   A..H.          1 024     1,00 K   security.log   Thu 30 Jun 2005  19:00:02   A..H.         12 288    12,00 KC:\WINDOWS\SYSTEM32\RESTORE\   filelist.xml   Tue 14 Jun 2005  19:07:56   ..SHR         13 698    13,38 KC:\WINDOWS\LASTGOOD\INF\   oem17.inf      Sat 18 Jun 2005  11:31:50   A..H.              0     0,00 K   oem17.pnf      Sat 18 Jun 2005  11:31:50   A..H.              0     0,00 K   oem19.inf      Sun 26 Jun 2005   9:15:02   A..H.              0     0,00 K   oem19.pnf      Sun 26 Jun 2005   9:15:02   A..H.              0     0,00 KC:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\   ntuser~1.log   Sun 26 Jun 2005   9:21:56   A..H.          1 024     1,00 KC:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\   oem17.cat      Thu 26 May 2005   4:27:36   ..S..         15 597    15,23 K16 items found:  16 files, 0 directories.   Total of file sizes:  1 135 221 bytes      1,08 M  merci encore pour l'aide, on va y arriver !

Dark Vador 33 · Answer

salut à tous,quelqu'un peut-il m'aider ?on a avancé avec moe hier mais tjs pas d'amélioration....merci

moe31 · Answer

salutpas facilece coup ci on a cslfv.exe (hier il s'appelait cscka.exe)Rend visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher " afficher les fichiers et dossiers cachés "Décocher " masquer les extentions des fichiers dont le type est connu Décocher " masquer les fichiers protégés du système"clic sur ok pour validerensuite, ne passe pas par la fonction rechercher, rend toi dans :C:\WINDOWS\SYSTEM32etC:\WINDOWSet dis moi s'il existeps: les log sont d'aujourd'hui ?, si oui tu as redemarrer ton pc depuis ?a+

Dark Vador 33 · Answer

salutpas de trace du fichier cslfv.exeles logs sont d'aujourd'hui, pas de redemarrage

moe31 · Answer

bien...Telecharge: Pocket Killbox icihttp://www.downloads.subratam.org/KillBox.exel'aide détaillé de la manip est téléchargeable ici:http://get.yourfile.net/qn53063.zipredemarre en mode sans echecs:ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous: REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" Puis enregistrer sous(choisis le bureau): Nom du fichier, met fix.reg Type de fichier: selectionne "tous les fichiers" clic sur enregistrer ensuite double clic sur fix.reg et accepte de fusionner 1- Double-clic sur KillBox.exe2- ouvre le bloc notes et copie la liste en gras ci-dessous3- Selectionne "Delete on Reboot"4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier5- reviens sur killbox, et dans le menu du haut clic sur tool, puis sur paste from clipboard5- clic sur le rond rouge6- une fenetre va apparaitre pour confirmation clic sur OUI7- une seconde fenetre te demande si tu veux redemarrer clic sur OUIliste:C:\WINDOWS\system32\cisvvc.exe C:\WINDOWS\system32\drv2cltr.dll le pc devrait redemarrer.si tu recois un message de killbox "pendingfilerename..." qui l'empeche de redemarrer, alors redemarre manuellement.reposte un hijack et un silentrunnersa+

Dark Vador 33 · Answer

voici le hijackLogfile of HijackThis v1.99.1Scan saved at 21:16:02, on 30/06/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\alg.exeC:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXEC:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exeC:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exeC:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exeC:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXEC:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Securitoo\av_fw\Common\FSMA32.EXEC:\Program Files\Securitoo\av_fw\Common\FSMB32.EXEC:\Program Files\Securitoo\av_fw\Common\FCH32.EXEC:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXEC:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exeC:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Securitoo\av_fw\Common\FSM32.EXEC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exeC:\WINDOWS\System32\devldr32.exeC:\WINDOWS\System32\wuauclt.exeC:\Documents and Settings\Guillaume\Bureau\HijackThis.exeC:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exeC:\WINDOWS\System32\wuauclt.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhostO4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splashO4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSWO4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dllO23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXEO23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exeO23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exeO23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exeO23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exeO23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXEO23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exeet silent"Silent Runners.vbs", revision 39, http://www.silentrunners.org/Operating System: Windows XPOutput limited to non-default values, except where indicated by "{++}"Startup items buried in registry:---------------------------------HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"F-Secure Manager" = ""C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash" ["F-Secure Corporation"]"F-Secure TNB" = ""C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW" ["F-Secure Corporation"]"FSASWREG" = ""C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"" [null data]HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"  -> {CLSID}\InProcServer32\(Default) = "D:\Programmes\Office XP\Office10\msohev.dll" [MS]"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\INFECTION WARNING! "System" = "csfnd.exe" [null data]HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\INFECTION WARNING! NavLogon\DLLName = "C:\WINDOWS\System32\NavLogon.dll" [null data]HKLM\Software\Classes\*\shellex\ContextMenuHandlers\LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]Active Desktop and Wallpaper:-----------------------------Active Desktop is disabled at this entry:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellStateHKCU\Control Panel\Desktop\"Wallpaper" = "C:\Documents and Settings\Guillaume\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"Startup items in "Guillaume" & "All Users" startup folders:-----------------------------------------------------------C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage"Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g" -> shortcut to: "C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe" [" "]Winsock2 Service Provider DLLs:-------------------------------Namespace Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]Transport Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05Miscellaneous IE Hijack Points------------------------------C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")Added lines (compared with English-language version):[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"Missing lines (compared with English-language version):[Strings]: 1 lineRunning Services (Display Name, Service Name, Path {Service DLL}):------------------------------------------------------------------EPSON Printer Status Agent2, EPSONStatusAgent2, "C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe" ["SEIKO EPSON CORPORATION"]F-Secure Distributed Firewall Daemon, FSDFWD, ""C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe"" ["F-Secure Corporation"]F-Secure Gatekeeper Handler Starter, F-Secure Gatekeeper Handler Starter, ""C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe"" ["F-Secure Corp."]F-Secure Management Agent, FSMA, ""C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE"" ["F-Secure Corporation"]fsbwsys, fsbwsys, ""C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe"" ["F-Secure Corp."]Securitoo AntiVirus Firewall, BackWeb Client - 1044199, "C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE" [null data]----------+ This report excludes default entries except where indicated.+ To see *everywhere* the script checks and *everything* it finds,  launch it from a command prompt or a shortcut with the -all parameter.+ The search for DESKTOP.INI DLL launch points on all local fixed drives  took 57 seconds.+ The search for all Registry CLSIDs containing dormant Explorer Bars  took 17 seconds.---------- (total run time: 110 seconds)

moe31 · Answer

toujours pareil ?

Dark Vador 33 · Answer

oui.............. c'est dingue !comment est-ce possible ???????j'ai déjà eu des trojans sur mon pc, et avec une manip simple il disparaissaient.... mais là c'est trop fort !

moe31 · Answer

bon, on va essayer comme ceci:au fait tu as la restau systeme activée ?tres peu d'info sur le net sur cette mer*eouvre l'editeur du registredemarrer > executer tape regeditrend toi surHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\clic sur Winlogondans la fenetre de droite double clic sur systemefface la valeur csfnd.exe <- apparement elle change à chaques redemarrageet valideensuite meme manip que tout a l'heure avec killboxliste pour killbox: C:\WINDOWS\system32\cisvvc.exe C:\WINDOWS\system32\drv2cltr.dllC:\WINDOWS\system32\csfnd.exeC:\WINDOWS\csfnd.exeune fois redemarre, et si ils sont toujours là, fais les analyser ici:http://www.virustotal.com/xhtml/virustotal_en.htmlet poste le resultat du rapport

jean38 · Answer

alors là moe je suis scotché, si tu réussi, c'est une caisse de champ qu'il va t'envoyer...bon courageamitiesjean

moe31 · Answer

lol, je me doutais que ca allait pas etre facile au depart de ce post.j'espere qu'on va y arriver...pour la caisse je suis preneur lola+

Dark Vador 33 · Answer

me revoilala restau est desactivedans la base de registre pas de trace de csfnd.exevaleur pour system = videfais killbox + analyse sur l'adresse que tu m'as donnévoici le resultatAntivirus Version Update Result AntiVir 6.31.0.7 06.30.2005 no virus found Avira 6.31.0.7 06.30.2005 no virus found BitDefender 7.0 06.30.2005 no virus found ClamAV devel-20050501 06.30.2005 no virus found DrWeb 4.32b 06.30.2005 no virus found eTrust-Iris 7.1.194.0 06.29.2005 no virus found eTrust-Vet 11.9.1.0 06.30.2005 no virus found Fortinet 2.36.0.0 06.30.2005 no virus found Ikarus 2.32 06.30.2005 no virus found Kaspersky 4.0.2.24 06.30.2005 no virus found McAfee 4525 06.30.2005 no virus found NOD32v2 1.1159 06.30.2005 no virus found Norman 5.70.10 06.30.2005 no virus found Panda 8.02.00 06.30.2005 no virus found Sybari 7.5.1314 06.30.2005 no virus found Symantec 8.0 06.30.2005 no virus found TheHacker 5.8.2.063 06.30.2005 no virus found VBA32 3.10.4 06.30.2005 no virus found VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español --------------------------------------------------------------------------------www.virustotal.com :: @ Hispasec Sistemas 2004 :: e-mail info@virustotal.com

lejoker333 · Answer

zen restons zen  you're not alone !!!!Infecté par   :  Application.Dialer.EU                Et/Ou  Application.Dialer.MYAd-Aware , Spybot , BitDefender et antivirus en ligne A2n’y font rien depuis environ 15 jours!!!!???J’ai fait un nettoyage du disque en supprimant les points de restauration système et aussi ceci et cela et puis un p'tit peu de quoi.......... :(rien n'y fait   ps :petite chose qui peut etre servira ,j'avais bitdefender 8 pro et à la date fatidique du 22-06-05 mon N° de  clé d'activation de l'AV n'était plus valide .J'ai  donc opté pour la réinstallation de la version free bitdefender 7(date de démarrage de problème approximativement bizarre bizarre)Une coincidence ,une paranoia ???Toujours le même délire qui revient tous les 2 à 3 jours !Une idée Doc. ???Merci d’avance  @+

jean38 · Answer

salut,la première idée, tu fais un post perso sans squater celui des autreset ensuite tu fais celà:telecharge hijackthis: http://www.merijn.org/files/hijackthis.zip Dezippe le dans un dossier prévu a cet effet. Par exemple C:\hijackthis lance le puis: clic sur "do a system scan and save logfile" et pas autre chose fais un copier coller du log entier ici. a+

Dark Vador 33 · Answer

stp fais un post perso merci et bonne chance

moe31 · Answer

ils sont toujours là ?reposte un silentrunners+pfind newet dis moi si tu as un de ces 2 exe:C:\Windows\system32\loadctr.exe C:\Windows\system32\rdsndin.exe

Dark Vador 33 · Answer

est-ce normal d'avoir en c:\windows\system32 :svchost.exesvchosts.exe?je fais ce que tu me dis :ok

moe31 · Answer

celui avec un s à la fin nonfais la analyser ici:http://virusscan.jotti.org/

Dark Vador 33 · Answer

j'ai lodctr.exe et rdsaddin.exe

Dark Vador 33 · Answer

resultat de virus scan sur svchosts:Service load:  0%        100%   File:  svchosts.exe  Status:  INFECTED/MALWARE  MD5  d872d44a48c5ad59cc2bfb9a6251b910  Packers detected:  PE_PATCH, MEW Scanner results  AntiVir  Found nothing ArcaVir  Found nothing Avast  Found nothing AVG Antivirus  Found nothing BitDefender  Found Dropped:Trojan.PWS.Ldpinch.AK  ClamAV  Found nothing Dr.Web  Found nothing F-Prot Antivirus  Found nothing Fortinet  Found nothing Kaspersky Anti-Virus  Found nothing NOD32  Found nothing Norman Virus Control  Found W32/Suspicious_M.gen  VBA32  Found nothing

Dark Vador 33 · Answer

voici le log silent"Silent Runners.vbs", revision 39, http://www.silentrunners.org/Operating System: Windows XPOutput limited to non-default values, except where indicated by "{++}"Startup items buried in registry:---------------------------------HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}"F-Secure Manager" = ""C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash" ["F-Secure Corporation"]"F-Secure TNB" = ""C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW" ["F-Secure Corporation"]"FSASWREG" = ""C:\Program Files\Securitoo\av_fw\Anti-Spyware\fsaswreg.exe"" [null data]HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"  -> {CLSID}\InProcServer32\(Default) = "D:\Programmes\Office XP\Office10\msohev.dll" [MS]"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\INFECTION WARNING! "System" = "csguv.exe" [null data]HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\INFECTION WARNING! NavLogon\DLLName = "C:\WINDOWS\System32\NavLogon.dll" [null data]HKLM\Software\Classes\*\shellex\ContextMenuHandlers\LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]Active Desktop and Wallpaper:-----------------------------Active Desktop is disabled at this entry:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellStateHKCU\Control Panel\Desktop\"Wallpaper" = "C:\Documents and Settings\Guillaume\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"Startup items in "Guillaume" & "All Users" startup folders:-----------------------------------------------------------C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage"Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g" -> shortcut to: "C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe" [" "]Winsock2 Service Provider DLLs:-------------------------------Namespace Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]Transport Service ProvidersHKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05Miscellaneous IE Hijack Points------------------------------C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")Added lines (compared with English-language version):[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"Missing lines (compared with English-language version):[Strings]: 1 lineRunning Services (Display Name, Service Name, Path {Service DLL}):------------------------------------------------------------------EPSON Printer Status Agent2, EPSONStatusAgent2, "C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe" ["SEIKO EPSON CORPORATION"]F-Secure Distributed Firewall Daemon, FSDFWD, ""C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe"" ["F-Secure Corporation"]F-Secure Gatekeeper Handler Starter, F-Secure Gatekeeper Handler Starter, ""C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe"" ["F-Secure Corp."]F-Secure Management Agent, FSMA, ""C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE"" ["F-Secure Corporation"]fsbwsys, fsbwsys, ""C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe"" ["F-Secure Corp."]Securitoo AntiVirus Firewall, BackWeb Client - 1044199, "C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE" [null data]----------+ This report excludes default entries except where indicated.+ To see *everywhere* the script checks and *everything* it finds,  launch it from a command prompt or a shortcut with the -all parameter.+ The search for DESKTOP.INI DLL launch points on all local fixed drives  took 40 seconds.+ The search for all Registry CLSIDs containing dormant Explorer Bars  took 19 seconds.---------- (total run time: 93 seconds)

jean38 · Answer

mon ami,je pense que moe est au lit, il te repondra surement demain.Là trop au top pour mes modestes neurones donc je ne peux prendre la suite mais je te souhaite une bonne nuit.;bien amicalementjean

Dark Vador 33 · Answer

merci à tous les deux bonne nuit et à demain.....

moe31 · Answer

non, toujours là, mais je cherche des infos entre temps, mais pas grand chose de neuf.ouvre l'editeur du registre demarrer > executer tape regedit rend toi sur HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\clic sur Winlogon dans la fenetre de droite double clic sur system efface la valeur csguv.exevalide1- Double-clic sur KillBox.exe 2- ouvre le bloc notes et copie la liste en gras ci-dessous 3- Selectionne "Delete on Reboot" 4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier 5- reviens sur killbox, et dans le menu du haut clic sur tool, puis sur paste from clipboard 5- clic sur le rond rouge 6- une fenetre va apparaitre pour confirmation clic sur OUI 7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI liste:C:\WINDOWS\csguv.exe C:\WINDOWS\system\csguv.exeC:\WINDOWS\system32\svchosts.exeC:\WINDOWS\system32\cisvvc.exe C:\WINDOWS\system32\drv2cltr.dll C:\WINDOWS\system32\csguv.exeune fois redemarré, fais un scan ici:http://www.bitdefender.com/scan/licence.phpce coup ci, j'arrete pour ce soirà demain pour la suite

Dark Vador 33 · Answer

re,je crois que c'est bon .....voici le resultat du scan de bitfender :BitDefender Online Scanner     Scan report generated at: Fri, Jul 01, 2005 - 00:19:51       Scan path: A:\;C:\;D:\;G:\;H:\;           Statistics Time 00:27:26 Files 86224 Folders 3280 Boot Sectors 3 Archives 1163 Packed Files 7899      Results Identified Viruses  5 Infected Files  5 Suspect Files  0 Warnings 0 Disinfected 0 Deleted Files 5      Engines Info Virus Definitions 187353 Engine build AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29) Scan plugins 13 Archive plugins 39 Unpack plugins 4 E-mail plugins 6 System plugins 1      Scan Settings First Action Disinfect Second Action Delete Heuristics Yes Enable Warnings Yes Scanned Extensions exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas; Exclude Extensions   Scan Emails Yes Scan Archives Yes Scan Packed Yes Scan Files Yes Scan Boot Yes        Scanned File  Status C:\WINDOWS\system32\rdsndin.exe Infected with: Trojan.Click.526 C:\WINDOWS\system32\rdsndin.exe Disinfection failed C:\WINDOWS\system32\rdsndin.exe Deleted C:\WINDOWS\system32\f3PSSavr.scr Detected with: Application.Adware.Funweb.A C:\WINDOWS\system32\f3PSSavr.scr Disinfection failed C:\WINDOWS\system32\f3PSSavr.scr Deleted C:\WINDOWS\system32\loadctr.exe Infected with: Trojan.Dropper.Small.ZX C:\WINDOWS\system32\loadctr.exe Disinfection failed C:\WINDOWS\system32\loadctr.exe Deleted C:\WINDOWS\system32\yzquq.dll Detected with: Adware.Iectr.A C:\WINDOWS\system32\yzquq.dll Disinfection failed C:\WINDOWS\system32\yzquq.dll Deleted C:\WINDOWS\Help\SPAlert.chm Infected with: Trojan.Bloon.A C:\WINDOWS\Help\SPAlert.chm Disinfection failed C:\WINDOWS\Help\SPAlert.chm Deleted   je suis allé dans la base de registre et j'ai pu effacer le fameux et non moins celebre csguv.exeaprés un silent runners, plus d'infection avec ce fichier, par contre il reste ca :HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\INFECTION WARNING! NavLogon\DLLName = "C:\WINDOWS\System32\NavLogon.dll" [null data]faut-il que j'efface cette clé egalement ?et que dois-je faire pour etre sur du coup ? (adaware, spybot....)merci encore pour ton aide précieuse et ta patience : pro et sympa.penses-tu qu'on pourrai faire un dossier sur cette belle mer....e ?A demain pour tes réponses..... et merci encore.

balltrap34 · Answer

salutne touche pas a cette lignes!!!!!!!!!!!!!!!!!

moe31 · Answer

salut dark vador, balltrapEnfin !!! on en est venu à bout lolbitdef à été royal sur le coup.Pour la ligne de navlogon.dll, laisse là, elle n'est pas mauvaise.Pour ces fichier que je t'avais fais rechercer:C:\Windows\system32\loadctr.exe C:\Windows\system32\rdsndin.exeje vois d'après le rapport de bitdef qu'il étaient bien là !!En tout cas belle bataille ;-)Content que tu t'en soit debarrassé !a+

Dark Vador 33 · Answer

salut moe, salut balltrapmerci encore pour votre aide,effectivement les fichiers étaient bien là, mais invisible... c'est incroyable.d'ailleurs pour la petite histoire, qd j'ai installé killbox sur mon bureau, l'icone n'apparaissait pas, alors qu'elle était bien présente car qd j'ai fais une reinstall avec enregistrement sur bureau, windows me demandait si je voulais ecraser le fichier.... j'ai du le renommer en kb.exe et non killbox.exe......Aprés le bitdef, l'icone killbox.exe apparassait bien sur le bureau. Je crois que le trojan planquait certains fichiers.... la peur au ventre ?bref, tout est bien maintenant et je vous remercis pour votre patience et votre professionalisme...a+ et encore bravo !

balltrap34 · Answer

mercivotre professionalisme... ont est pas des proffessionnel mais des amateurs

moe31 · Answer

salut darkc'est la premiere fois que je vois un truc pareil, et bien content que ca finisse comme ca.Car après avoir fais pas mal de recherches, j'ai pas vu beaucoups de posts sur le sujet resolus (peut etre 2 ou 3).Bitdef a été decisif !Pour le professionnalisme, lol c'est gentil mais l'info c'est pas du tout mon métier.tous ceux qui aident sur le forum sont bénévoles, et pour la plupart l'info est une passion et pas leur profession.En tout cas je suis sur que ton post resservira à d'autres qui ont le meme probleme.a++

balltrap34 · Answer

quand je dit que defender est bon lol

moe31 · Answer

ouais, meme kaspersky est passé au travers !

balltrap34 · Answer

par contre tu nas pas tenter l2mfixc etait une vx2 qui le recrere peut etre?

moe31 · Answer

lol,Maintenant que tu le dis, c'est vrai j'aurais du essayer l2mfix, mais  j'y ai pas pensé sur le coup.

balltrap34 · Answer

j y pense parce que je ne suis vraiment pas en plein dans le forum je survoleje suis toujours en train de faire des feuilles de style pour mon site afin de nettoyer le code pour la validation du site mais je galere quand ont debute la dedans

moe31 · Answer

oui, pas facile.je voudrais faire le mien, mais j'arrive pas à choisir le style général et le contenu lol, alors les css j'ai le temps !j'essaye de tout faire avec photoshop(menu, boutons etc..), mais ca demande beaucoup trop de temps...a+

balltrap34 · Answer

j utilise macromedia c est bien

Probleme trojan

69 réponses

Discussions similaires

Newsletters