Help... svp ( Win32:Trojan-gen. {Other )
Résolu/Fermé
A voir également:
- Help... svp ( Win32:Trojan-gen. {Other )
- Hacktool win32 autokms ✓ - Forum Virus
- Trojan win32 - Forum Virus
- Télécharger win32 valide pour windows 7 gratuit - Forum Windows
- Win32 pup gen ✓ - Forum Linux / Unix
- Puadimanager win32/installcore ✓ - Forum Virus
10 réponses
salut lise,
tout d'abord pour ton analyse hijack, il n'y a rien d'anormal. Mais aucun pare-feu n'est installé sur ton pc ( enfin je l'ai peut être zappé ... :$ ). Et ta version d'internet explorer n'est plus à jour, mais ca c'est pas le problème.
Pour ton problème de ver, j'avais déjà entendu parler qu'avast! ne pouvait supprimer un ver car il appartenait à un dossier windows. Ton ver se trouve en effet dans windows32 . Et il faut que tu essayes de trouver dans les options de ton antivirus un paramètre qui indiquerait quelque chose du genre "a supprimer avec précaution", si tu trouves cela, il faut que tu l'appliques. Et quand tu démarreras une nouvelle analyse, choisis "supprimer même les fichiers systèmes". Mais bon, c'est une méthode à risque, je te mets donc en garde.
Si tu ne l'a pas déjà fait, tente un scan en ligne sur le site antivirus www.secuser.com, ou tu choisiras l'antivirus en ligne.
Et si comme je l'ai vu auparavant tu n'as pas de firewall, télécharges-en un au plus vite. Télécharges aussi Spybot Search and Destroy puis Ad-Aware, deux utilitaires de désinfections totalement gratuit qui pourront peut etre t'aider.
Voilà, tiens-moi au courant de tes résultats
a+
tout d'abord pour ton analyse hijack, il n'y a rien d'anormal. Mais aucun pare-feu n'est installé sur ton pc ( enfin je l'ai peut être zappé ... :$ ). Et ta version d'internet explorer n'est plus à jour, mais ca c'est pas le problème.
Pour ton problème de ver, j'avais déjà entendu parler qu'avast! ne pouvait supprimer un ver car il appartenait à un dossier windows. Ton ver se trouve en effet dans windows32 . Et il faut que tu essayes de trouver dans les options de ton antivirus un paramètre qui indiquerait quelque chose du genre "a supprimer avec précaution", si tu trouves cela, il faut que tu l'appliques. Et quand tu démarreras une nouvelle analyse, choisis "supprimer même les fichiers systèmes". Mais bon, c'est une méthode à risque, je te mets donc en garde.
Si tu ne l'a pas déjà fait, tente un scan en ligne sur le site antivirus www.secuser.com, ou tu choisiras l'antivirus en ligne.
Et si comme je l'ai vu auparavant tu n'as pas de firewall, télécharges-en un au plus vite. Télécharges aussi Spybot Search and Destroy puis Ad-Aware, deux utilitaires de désinfections totalement gratuit qui pourront peut etre t'aider.
Voilà, tiens-moi au courant de tes résultats
a+
Utilisateur anonyme
25 juil. 2005 à 18:19
25 juil. 2005 à 18:19
salut lise
Déconnecte toi d'internet:
Ferme tout les programmes en cours
Vide le cache d'Internet Explorer et supprime les cookies:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok
Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Important:
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu
Décocher la case devant " masquer les fichiers protégés du système"
clic sur ok pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O4 - HKLM\..\Run: [wupdate] C:\112210.exe
O4 - HKLM\..\Run: [Microsoft Security Panagers] kcsgsjsb.exe
O4 - HKLM\..\Run: [msngta32] msngta32.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\1.tmp
O4 - HKLM\..\RunServices: [Microsoft Security Panagers] kcsgsjsb.exe
O4 - HKLM\..\RunServices: [msngta32] msngta32.exe
O4 - HKCU\..\Run: [msngta32] msngta32.exe
O4 - HKCU\..\RunServices: [msngta32] msngta32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
valider avec [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime:
Dans le cas ou tu utiliserais la fonction Rechercher:
Assure toi que dans:
Tous les fichiers et tous les dossiers >> Options avancées
• Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
• Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
• Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !
Essaye de supprimer les fichiers en suivant le chemin des fichiers infectés avec l'explorateur, plutot que d'utiliser la fonction "Rechercher"
S'ils sont présents, supprime:
C:\112210.exe
C:\WINDOWS\system32\1.tmp
C:\WINDOWS\system32\xpjava.exe
kcsgsjsb.exe
C:\WINDOWS\system32\msngta32.exe
C:\WINDOWS\rofl.exe
C:\WINDOWS\aim.exe
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
ensuite
Menu demarrer >> executer tape ou fais un copier coller ce qui est en gras ci-dessous:
sc delete AIM
valide
Menu demarrer >> executer tape ou fais un copier coller ce qui est en gras ci-dessous:
sc delete AOL Instant Messenger
valide
Menu demarrer >> executer tape ou fais un copier coller ce qui est en gras ci-dessous:
sc delete msdirectx
valide
recherche et supprime le fichier msdirectx.sys
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, tres important:
:: Supprimer les fichiers temporaires ::
vider tout le contenu de ces dossiers
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Temp
* C:\Windows\Temp
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
ensuite redemarre ton pc et reposte un rapport hijackthis
Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.
a+
Déconnecte toi d'internet:
Ferme tout les programmes en cours
Vide le cache d'Internet Explorer et supprime les cookies:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok
Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Important:
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu
Décocher la case devant " masquer les fichiers protégés du système"
clic sur ok pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O4 - HKLM\..\Run: [wupdate] C:\112210.exe
O4 - HKLM\..\Run: [Microsoft Security Panagers] kcsgsjsb.exe
O4 - HKLM\..\Run: [msngta32] msngta32.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\1.tmp
O4 - HKLM\..\RunServices: [Microsoft Security Panagers] kcsgsjsb.exe
O4 - HKLM\..\RunServices: [msngta32] msngta32.exe
O4 - HKCU\..\Run: [msngta32] msngta32.exe
O4 - HKCU\..\RunServices: [msngta32] msngta32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
valider avec [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime:
Dans le cas ou tu utiliserais la fonction Rechercher:
Assure toi que dans:
Tous les fichiers et tous les dossiers >> Options avancées
• Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
• Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
• Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !
Essaye de supprimer les fichiers en suivant le chemin des fichiers infectés avec l'explorateur, plutot que d'utiliser la fonction "Rechercher"
S'ils sont présents, supprime:
C:\112210.exe
C:\WINDOWS\system32\1.tmp
C:\WINDOWS\system32\xpjava.exe
kcsgsjsb.exe
C:\WINDOWS\system32\msngta32.exe
C:\WINDOWS\rofl.exe
C:\WINDOWS\aim.exe
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
ensuite
Menu demarrer >> executer tape ou fais un copier coller ce qui est en gras ci-dessous:
sc delete AIM
valide
Menu demarrer >> executer tape ou fais un copier coller ce qui est en gras ci-dessous:
sc delete AOL Instant Messenger
valide
Menu demarrer >> executer tape ou fais un copier coller ce qui est en gras ci-dessous:
sc delete msdirectx
valide
recherche et supprime le fichier msdirectx.sys
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, tres important:
:: Supprimer les fichiers temporaires ::
vider tout le contenu de ces dossiers
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Temp
* C:\Windows\Temp
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
ensuite redemarre ton pc et reposte un rapport hijackthis
Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.
a+
Merci beaucoup pour votre aide !
Je me suis muni d'un pare feu ( ZoneAlarm ), j'éspère qu'il m'évitra de tels problemes. Il ralentit beaucoup en revanche ma connection est-ce bien normal?
Enfin mes problemes semblent avoir enfin été résolus et ce grace à vous...
Voici le dernier hijackthis en date :
Logfile of HijackThis v1.99.1
Scan saved at 01:09:02, on 26/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Creative\News\NewsUpd.EXE
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ried.pif
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\oivsxmxe.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NewsUpd] C:\Program Files\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Microsoftx turn Control] ried.pif
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [file laoder configuration] rnd32.exe
O4 - HKLM\..\Run: [Microsoft Security Panagers] oivsxmxe.exe
O4 - HKLM\..\RunServices: [Microsoftx turn Control] ried.pif
O4 - HKLM\..\RunServices: [file laoder configuration] rnd32.exe
O4 - HKLM\..\RunServices: [Microsoft Security Panagers] oivsxmxe.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122326000040
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Leadtek Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Merci encore ... J'espère ne plus avoir à vous déranger !
Je me suis muni d'un pare feu ( ZoneAlarm ), j'éspère qu'il m'évitra de tels problemes. Il ralentit beaucoup en revanche ma connection est-ce bien normal?
Enfin mes problemes semblent avoir enfin été résolus et ce grace à vous...
Voici le dernier hijackthis en date :
Logfile of HijackThis v1.99.1
Scan saved at 01:09:02, on 26/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Creative\News\NewsUpd.EXE
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ried.pif
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\oivsxmxe.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NewsUpd] C:\Program Files\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Microsoftx turn Control] ried.pif
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [file laoder configuration] rnd32.exe
O4 - HKLM\..\Run: [Microsoft Security Panagers] oivsxmxe.exe
O4 - HKLM\..\RunServices: [Microsoftx turn Control] ried.pif
O4 - HKLM\..\RunServices: [file laoder configuration] rnd32.exe
O4 - HKLM\..\RunServices: [Microsoft Security Panagers] oivsxmxe.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122326000040
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Leadtek Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Merci encore ... J'espère ne plus avoir à vous déranger !
Utilisateur anonyme
26 juil. 2005 à 01:49
26 juil. 2005 à 01:49
salut
Tu ne me derange pas du tout lol !
helas ils sont toujours là, je vois aussi que windows n'est pas à jours et ce genre de bestioles exploitent des failles, qui pour une bonne partie ont étés corrigées.
Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
l'aide détaillé de la manip est téléchargeable ici:
http://get.yourfile.net/qn53063.zip
Déconnecte toi d'internet, c'est important.
Ferme tout les programmes en cours
imprime ou sauvegarde en faisant un copier copier dans le bloc notes, pour etre sure de ne rien oublier
Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:
Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
clic sur ok pour valider
Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu
Décocher la case devant " masquer les fichiers protégés du système"
clic sur ok pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O4 - HKLM\..\Run: [Microsoftx turn Control] ried.pif
O4 - HKLM\..\Run: [file laoder configuration] rnd32.exe
O4 - HKLM\..\Run: [Microsoft Security Panagers] oivsxmxe.exe
O4 - HKLM\..\RunServices: [Microsoftx turn Control] ried.pif
O4 - HKLM\..\RunServices: [file laoder configuration] rnd32.exe
O4 - HKLM\..\RunServices: [Microsoft Security Panagers] oivsxmxe.exe
O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe (file missing)
valider en cliquant sur [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
(sert toi de l'aide si tu as du mal avec cette etape)
1- Double-clic sur KillBox.exe
2- selectionne "Delete on Reboot"
3- ouvre le bloc notes et copie la liste en gras ci-dessous (seulement ce qui est en gras).
4- toujours dans le bloc-notes, surligne toute la liste, puis clic droit dessus et clic sur copier
5- reviens sur killbox, et dans le menu du haut clic sur tool, puis sur paste from clipboard
5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI
liste:
C:\WINDOWS\System32\oivsxmxe.exe
C:\WINDOWS\System32\ried.pif
C:\WINDOWS\rofl.exe
C:\WINDOWS\System32\rnd32.exe
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\System32\msdirectx.sys
laisse le pc redemarrer et une fois fais:
Menu demarrer >> executer tape ou fais un copier coller ce qui est en gras ci-dessous:
sc delete AOL Instant Messenger
valide
Menu demarrer >> executer tape ou fais un copier coller ce qui est en gras ci-dessous:
sc delete msdirectx
valide
et reposte un rapport hijackthis
Scanne ton pc en ligne ici:
http://www.bitdefender.com/scan/licence.php
et/ou là:
http://housecall.trendmicro.com
et poste le resultat du rapport d'analyse ici
je te conseille aussi d'installer SAFE XP (c'est pas une obligation lol)
http://www.theorica.net/safexp.htm
Dans la partie service:
tout cocher sauf:
desactiver le service windows update
desactiver syncro temps internet
Dans la partie TCP/IP Netbios:
tout cocher
Dans la partie Reseaux:
cocher:
Désactiver les partages invisibles
Pour le reste c'est une affaire de choix
Tu ne me derange pas du tout lol !
helas ils sont toujours là, je vois aussi que windows n'est pas à jours et ce genre de bestioles exploitent des failles, qui pour une bonne partie ont étés corrigées.
Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
l'aide détaillé de la manip est téléchargeable ici:
http://get.yourfile.net/qn53063.zip
Déconnecte toi d'internet, c'est important.
Ferme tout les programmes en cours
imprime ou sauvegarde en faisant un copier copier dans le bloc notes, pour etre sure de ne rien oublier
Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:
Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
clic sur ok pour valider
Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu
Décocher la case devant " masquer les fichiers protégés du système"
clic sur ok pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O4 - HKLM\..\Run: [Microsoftx turn Control] ried.pif
O4 - HKLM\..\Run: [file laoder configuration] rnd32.exe
O4 - HKLM\..\Run: [Microsoft Security Panagers] oivsxmxe.exe
O4 - HKLM\..\RunServices: [Microsoftx turn Control] ried.pif
O4 - HKLM\..\RunServices: [file laoder configuration] rnd32.exe
O4 - HKLM\..\RunServices: [Microsoft Security Panagers] oivsxmxe.exe
O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe (file missing)
valider en cliquant sur [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
(sert toi de l'aide si tu as du mal avec cette etape)
1- Double-clic sur KillBox.exe
2- selectionne "Delete on Reboot"
3- ouvre le bloc notes et copie la liste en gras ci-dessous (seulement ce qui est en gras).
4- toujours dans le bloc-notes, surligne toute la liste, puis clic droit dessus et clic sur copier
5- reviens sur killbox, et dans le menu du haut clic sur tool, puis sur paste from clipboard
5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI
liste:
C:\WINDOWS\System32\oivsxmxe.exe
C:\WINDOWS\System32\ried.pif
C:\WINDOWS\rofl.exe
C:\WINDOWS\System32\rnd32.exe
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\System32\msdirectx.sys
laisse le pc redemarrer et une fois fais:
Menu demarrer >> executer tape ou fais un copier coller ce qui est en gras ci-dessous:
sc delete AOL Instant Messenger
valide
Menu demarrer >> executer tape ou fais un copier coller ce qui est en gras ci-dessous:
sc delete msdirectx
valide
et reposte un rapport hijackthis
Scanne ton pc en ligne ici:
http://www.bitdefender.com/scan/licence.php
et/ou là:
http://housecall.trendmicro.com
et poste le resultat du rapport d'analyse ici
je te conseille aussi d'installer SAFE XP (c'est pas une obligation lol)
http://www.theorica.net/safexp.htm
Dans la partie service:
tout cocher sauf:
desactiver le service windows update
desactiver syncro temps internet
Dans la partie TCP/IP Netbios:
tout cocher
Dans la partie Reseaux:
cocher:
Désactiver les partages invisibles
Pour le reste c'est une affaire de choix
Je ne sais comment te remmercier...
J'ai suivi toutes tes indications à la lettre et voici donc le nouveau rapport:
Logfile of HijackThis v1.99.1
Scan saved at 11:24:23, on 26/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Creative\News\NewsUpd.EXE
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\windows\system32\tskdbg.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NewsUpd] C:\Program Files\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [RVC6Player] c:\windows\system32\tskdbg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RVC6Player] c:\windows\system32\tskdbg.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122326000040
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Leadtek Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
J'ai l'impression que cela ne s'arretra jamais... Je vais faire le scan en ligne et telecharger safexp bien que je ne sache pas trop ce que c'est, j'ai comme l'impression qu'il securisera un peu plus mon ordinateur...
Merci encore pour ton aide, chevalier des temps modernes ;)
J'ai suivi toutes tes indications à la lettre et voici donc le nouveau rapport:
Logfile of HijackThis v1.99.1
Scan saved at 11:24:23, on 26/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Creative\News\NewsUpd.EXE
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\windows\system32\tskdbg.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NewsUpd] C:\Program Files\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [RVC6Player] c:\windows\system32\tskdbg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RVC6Player] c:\windows\system32\tskdbg.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122326000040
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Leadtek Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
J'ai l'impression que cela ne s'arretra jamais... Je vais faire le scan en ligne et telecharger safexp bien que je ne sache pas trop ce que c'est, j'ai comme l'impression qu'il securisera un peu plus mon ordinateur...
Merci encore pour ton aide, chevalier des temps modernes ;)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voici le rapport de BitDefender:
BitDefender Online Scanner
Scan report generated at: Tue, Jul 26, 2005 - 11:56:39
Scan path: A:\;C:\;D:\;E:\;
Statistics
Time
00:06:21
Files
32870
Folders
1068
Boot Sectors
4
Archives
536
Packed Files
2139
Results
Identified Viruses
1
Infected Files
1
Suspect Files
0
Warnings
0
Disinfected
0
Deleted Files
0
Engines Info
Virus Definitions
196998
Engine build
AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)
Scan plugins
13
Archive plugins
39
Unpack plugins
4
E-mail plugins
6
System plugins
1
Scan Settings
First Action
Disinfect
Second Action
Delete
Heuristics
Yes
Enable Warnings
Yes
Scanned Extensions
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
Exclude Extensions
Scan Emails
Yes
Scan Archives
Yes
Scan Packed
Yes
Scan Files
Yes
Scan Boot
Yes
Scanned File
Status
C:\WINDOWS\system32\tskdbg.exe
Infected with: Win32.Randon.AN
C:\WINDOWS\system32\tskdbg.exe
Disinfection failed
C:\WINDOWS\system32\tskdbg.exe
Delete failed
Apperement il y a encore un petit malain qui traine...
BitDefender Online Scanner
Scan report generated at: Tue, Jul 26, 2005 - 11:56:39
Scan path: A:\;C:\;D:\;E:\;
Statistics
Time
00:06:21
Files
32870
Folders
1068
Boot Sectors
4
Archives
536
Packed Files
2139
Results
Identified Viruses
1
Infected Files
1
Suspect Files
0
Warnings
0
Disinfected
0
Deleted Files
0
Engines Info
Virus Definitions
196998
Engine build
AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)
Scan plugins
13
Archive plugins
39
Unpack plugins
4
E-mail plugins
6
System plugins
1
Scan Settings
First Action
Disinfect
Second Action
Delete
Heuristics
Yes
Enable Warnings
Yes
Scanned Extensions
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
Exclude Extensions
Scan Emails
Yes
Scan Archives
Yes
Scan Packed
Yes
Scan Files
Yes
Scan Boot
Yes
Scanned File
Status
C:\WINDOWS\system32\tskdbg.exe
Infected with: Win32.Randon.AN
C:\WINDOWS\system32\tskdbg.exe
Disinfection failed
C:\WINDOWS\system32\tskdbg.exe
Delete failed
Apperement il y a encore un petit malain qui traine...
Utilisateur anonyme
26 juil. 2005 à 12:19
26 juil. 2005 à 12:19
salut
Le mieux serait que tu fasse tes maj windows, sinon le nettoyage ne servira pas à grand chose.
En mode sans echecs:
lance hijackthis et supprime cette ligne:
O4 - HKCU\..\Run: [RVC6Player] c:\windows\system32\tskdbg.exe
recherche et supprime c:\windows\system32\tskdbg.exe
et verifie si ceux ci existent, si c'est le cas supprime les:
c:\windows\system32\astem.as
c:\windows\system32\bstem.as
c:\windows\system32\oystem.er
ensuite il faut absolument arreter ce service:
Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
AOL Instant Messenger
Double clic dessus et clic sur [arreter] puis dans :
type de demarrage --> sélectionne désactivé.
redemarre le pc et reposte un hijack
a+
Le mieux serait que tu fasse tes maj windows, sinon le nettoyage ne servira pas à grand chose.
En mode sans echecs:
lance hijackthis et supprime cette ligne:
O4 - HKCU\..\Run: [RVC6Player] c:\windows\system32\tskdbg.exe
recherche et supprime c:\windows\system32\tskdbg.exe
et verifie si ceux ci existent, si c'est le cas supprime les:
c:\windows\system32\astem.as
c:\windows\system32\bstem.as
c:\windows\system32\oystem.er
ensuite il faut absolument arreter ce service:
Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
AOL Instant Messenger
Double clic dessus et clic sur [arreter] puis dans :
type de demarrage --> sélectionne désactivé.
redemarre le pc et reposte un hijack
a+
Merci mille fois pour tes réponses si rapides et si détaillées...
Vraiment c'est super gentil... Ah si l'entraide sur cette terre valait celle que tu apportes ici, on serait sur un monde merveilleux!
Je commence immédiatement la chasse!
Bonne journée!
Vraiment c'est super gentil... Ah si l'entraide sur cette terre valait celle que tu apportes ici, on serait sur un monde merveilleux!
Je commence immédiatement la chasse!
Bonne journée!
Désolé mais je n'ai pas pu éditer mon précédent post...
Je voulais simplement te demander ce que signifie 'faire mes maj windows" ?
Je voulais simplement te demander ce que signifie 'faire mes maj windows" ?
petit-pere
Messages postés
147
Date d'inscription
jeudi 21 avril 2005
Statut
Membre
Dernière intervention
15 octobre 2010
11
26 juil. 2005 à 13:29
26 juil. 2005 à 13:29
Il faut régulièrement mettre à jour son système d'exploitation (Windows XP dans ton cas).
Cela se passe en 2 étapes sous Windows XP:
1. télécharger les mises à jour
2. installer ces mises à jour
C'est semi-automatique sous XP; càd que ton PC te demande de cliquer sur une icône dans la barre des tâches (image d'un globe terrestre en bas à droite) pour lancer le processus. Cependant, il faut savoir que si tu as téléchargé des mises à jour mais qu'elles ne sont pas installées, il n'est pas possible de télécharger de nouvelles; les permières téléchargées devront être installées d'abord.
voilà, j'espère avoir répondu à ta question
bon courage
Cela se passe en 2 étapes sous Windows XP:
1. télécharger les mises à jour
2. installer ces mises à jour
C'est semi-automatique sous XP; càd que ton PC te demande de cliquer sur une icône dans la barre des tâches (image d'un globe terrestre en bas à droite) pour lancer le processus. Cependant, il faut savoir que si tu as téléchargé des mises à jour mais qu'elles ne sont pas installées, il n'est pas possible de télécharger de nouvelles; les permières téléchargées devront être installées d'abord.
voilà, j'espère avoir répondu à ta question
bon courage
Tout semble marchait parfaitement !
Logfile of HijackThis v1.99.1
Scan saved at 13:15:20, on 26/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Creative\News\NewsUpd.EXE
C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NewsUpd] C:\Program Files\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122326000040
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Leadtek Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Merci pour tout, je ne sais que dire de plus...
Logfile of HijackThis v1.99.1
Scan saved at 13:15:20, on 26/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Creative\News\NewsUpd.EXE
C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NewsUpd] C:\Program Files\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122326000040
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Leadtek Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Merci pour tout, je ne sais que dire de plus...
Utilisateur anonyme
26 juil. 2005 à 13:43
26 juil. 2005 à 13:43
salut
RAS !!, plus rien de mauvais dans hijackthis.
Si tu ne l'as pas dejà fait, recache les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Décocher la case devant " afficher les fichiers et dossiers cachés "
cocher la case devant " masquer les fichiers protégés du système"
clic sur ok pour valider
Pour des raisons de sécurité évidentes, laisse visible les extentions des fichiers
et réactive la restauration systeme:
Clic droit sur poste de travail > propriétés > onglet restauration système
puis décocher "désactiver la restauration système".
Ensuite tu peux créer un nouveau point de restauration:
demarrer > executer tape msconfig
clic sur "executer la restauration systeme"
clic sur créer un point de restauration.
et laisse toi guider.
Pour ta question sur les MAJ, il est nécessaire de faire des mises à jours de windows, car des failles dans ce programme sont découvertes assez souvent et exploitées immediatement par certains virus, des correctifs dont le but est de combler la plupart de ces failles, sont disponibles sur le site de microsoft.
D'ou l'importance d'avoir un systeme à jours.
Quelques explications ici:
http://www.inoculer.com/windowsupdate.php3
le lien pour les mises à jours ici:
http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=fr
Je te conseille aussi de prendre le temps de lire ceci:
http://sebsauvage.net/safehex.html
Et plus généralement:
http://assiste.free.fr
Vraiment content pour toi ;-)
a+
RAS !!, plus rien de mauvais dans hijackthis.
Si tu ne l'as pas dejà fait, recache les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Décocher la case devant " afficher les fichiers et dossiers cachés "
cocher la case devant " masquer les fichiers protégés du système"
clic sur ok pour valider
Pour des raisons de sécurité évidentes, laisse visible les extentions des fichiers
et réactive la restauration systeme:
Clic droit sur poste de travail > propriétés > onglet restauration système
puis décocher "désactiver la restauration système".
Ensuite tu peux créer un nouveau point de restauration:
demarrer > executer tape msconfig
clic sur "executer la restauration systeme"
clic sur créer un point de restauration.
et laisse toi guider.
Pour ta question sur les MAJ, il est nécessaire de faire des mises à jours de windows, car des failles dans ce programme sont découvertes assez souvent et exploitées immediatement par certains virus, des correctifs dont le but est de combler la plupart de ces failles, sont disponibles sur le site de microsoft.
D'ou l'importance d'avoir un systeme à jours.
Quelques explications ici:
http://www.inoculer.com/windowsupdate.php3
le lien pour les mises à jours ici:
http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=fr
Je te conseille aussi de prendre le temps de lire ceci:
http://sebsauvage.net/safehex.html
Et plus généralement:
http://assiste.free.fr
Vraiment content pour toi ;-)
a+