Sujet Précédent Sujet Suivant

Pbl HCLEAN32.EXE - Help ! - décryptage Hijack

Yohan -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour à toutes et tous,

Je me permet de vous demander de l'aide car voila quelques jours que je me bagarre avec une anomalie récurrente.
J'ai lu les diverses discussions à ce sujet dans le forum et appliquer les remèdes - rien à faire.

Anomalie :
Norton détecte un troyan sur le ficheier c:\windows\system32\hclean32.exe. Après vérification ce ficheir n'existe pas !
de plus, antivir détecte un troyan dans le fichier rdsndin.exe.

J'ai passer SPYBOT, AD-AWARE, TAUSCAN, NORTON AV, ANTIVIR.
Rien à faire.

Je vous fais donc passer le Hijack en espérant que quelqu'un pourra me venir en aide.

En l'attente. Merci d'avance.

Logfile of HijackThis v1.99.1
Scan saved at 09:48:13, on 25/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\looknstop\_looknstop.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MulMouse.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\dwwin.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\cnmsm66.exe
C:\hijack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {C7DBAF37-8D7C-D325-6FC4-EED2460373FB} - _ctcp.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] "C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\YOHAN&~1\LOCALS~1\Temp\bundle_cdt1006.exe run
O4 - HKLM\..\Run: [MSTCPDLL] SYSTRAV.exe
O4 - HKLM\..\Run: [Brong32] SYSTRAV.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Tau Monitor] C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [Dest068] MON76234.exe
O4 - HKCU\..\Run: [systemdll] xxtoolbar.exe
O4 - HKCU\..\Run: [NsCplTray] nmdllw.exe
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114460605218
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0914A442-A758-4B09-9FA6-2A8CAEE26F60}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFBDDBD5-77CA-414F-B77B-7AA99DDEC6B7}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{0914A442-A758-4B09-9FA6-2A8CAEE26F60}: NameServer = 69.50.176.158,85.255.112.8
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Program Files\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A voir également:
  • Pbl HCLEAN32.EXE - Help ! - décryptage Hijack
  • .Exe - Télécharger - Divers Utilitaires
  • Winrar exe - Télécharger - Compression & Décompression
  • Svchost exe - Guide
  • Bat to exe - Télécharger - Édition & Programmation
  • Hijack this - Télécharger - Antivirus & Antimalwares

45 réponses

Précédent
Réponse 21 / 45
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
ta raison j avais sauter la fin
je fatigue se week olalla
0
Réponse 22 / 45
Utilisateur anonyme
 
lol sur le coup j'ai eu un doute..
0
Réponse 23 / 45
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
je suis passer trop vite dessus et lol les deux pied dedans
0
Y ohan
 
Vous vous en sortez les gars ??
pour moi c'est du petit chinois !
0
Réponse 24 / 45
Utilisateur anonyme
 
lance hijackthis et supprime:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0914A442-A758-4B09-9FA6-2A8CAEE26F60}: NameServer = 69.50.176.158,85.255.112.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{0914A442-A758-4B09-9FA6-2A8CAEE26F60}: NameServer = 69.50.176.158,85.255.112.8

demarrer > connection > clic droit sur ta connection > propriétés
gestion de reseau
assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés
supprime tout ce qui est dans serveur dns preferé et auxiliaire
puis selectionne "obtenir les adresses des serveurs automatiquement"
valide avec ok

redemarre en mode sans echec et rend visibles les fichiers cachés et systeme

supprime si présent:

C:\WINDOWS\System32\dllhstgp.exe
C:\WINDOWS\System32\rdsndin.exe
C:\WINDOWS\System32\ntfsnlpa.exe
C:\WINDOWS\System32\loader32.exe
C:\WINDOWS\RDT.INI
C:\WINDOWS\BALLOON.WAV

dans le dossier hclsrch lance le fichier hclean.reg et accepte de fusionner

redemarre le pc et reposte un hijack fait en etant connecté
+ le log de hc.bat
0
Yohan
 
Salut MOE, Re aux autres !

Donc j'ai suivi les instructions:
1/ Supprimer les lignes O17 dans hijack avant boot -> OK

2/ OK pour "obtenir les adresses automatiquement". Cette option était déjà telle quelle avant la vérif.

3/ Boote en sans échec et suppression de 2 fichiers sur 6 soit :
C:\windows\RDT.INI
C:\windows\BALLOON.WAV

Les autres fichiers n'existent pas mais certains ont des noms quasi identiques (dllhst3g.exe, rdsaddin.exe, ntkrnlps.exe) Je les ai laissé car j'ai cru lire dans d'autres post que ceux-ci sont inoffensifs.

4/ J'ai bien fusionné le reg de hclean et ai eu un message de OK.

Je te fais parvenir le hijack après redémarrage et connexion.

UN POINT POSITIF : Lors de ma dernière connexion, Antivir n'a rien détecté du tout, ce qui n'a jamais été le cas depuis fort longtemps....Est-ce que vous auriez gagné.??..je l'espère.

Logfile of HijackThis v1.99.1
Scan saved at 18:16:10, on 28/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MulMouse.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] "C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [dmaqy.exe] C:\WINDOWS\System32\dmaqy.exe
O4 - HKLM\..\Run: [Tau Monitor] C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114460605218
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Program Files\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 45
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
c est toi qui les a fait moe
0
Réponse 26 / 45
Utilisateur anonyme
 
qui à fait quoi ?

si tu parle des progs, findt non (trouvé sur un forum)
l'autre oui, en fonction des infos que j'ai pu trouver
0
Réponse 27 / 45
Utilisateur anonyme
 
il en reste encore

supprime avec hijack
O4 - HKLM\..\Run: [dmaqy.exe] C:\WINDOWS\System32\dmaqy.exe

et supprime
C:\WINDOWS\System32\dmaqy.exe

reposte un log de hs.bat et un silentrunners
0
Yohan
 
OK, j'ai supprimer la ligne 04. Par contre le fichier n'existe pas dans sytem32.

Je te fais parvenir un rapport de hclsrch (je suppose que c'est ce que tu appelles un log de HS).


Rapport fait à 18:34:08,15 le 28/08/2005
Executé à partir de C:\Program Files\hclsrch
OS: Microsoft Windows XP [version 5.1.2600]

Recherche registre ...


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SiSUSBRG REG_SZ C:\WINDOWS\SiSUSBrg.exe
Zone Labs Client REG_SZ "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
Easy-PrintToolBox REG_SZ C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
NeroFilterCheck REG_SZ C:\WINDOWS\system32\NeroCheck.exe
AnyDVD REG_SZ "C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe"
AVGCtrl REG_SZ "C:\Program Files\AVPersonal\AVGNT.EXE" /min
Tau Monitor REG_SZ C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
system REG_SZ


Recherche dossier Internet Explorer...

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CCE8-7B91

R‚pertoire de C:\Program Files\Internet Explorer

29/08/2002 11:45 91ÿ136 iexplore.exe
1 fichier(s) 91ÿ136 octets
0 R‚p(s) 30ÿ672ÿ310ÿ272 octets libres

Recherche presence hclean32.exe...
hclean.exe Présent !

Recherche des processus crées à la meme date:
C:\WINDOWS\BDOSCAN8
C:\WINDOWS\Downloaded
C:\WINDOWS\inf
C:\WINDOWS\Internet
C:\WINDOWS\System32\CatRoot
C:\WINDOWS\System32\drivers
C:\WINDOWS\System32\hclean32.exe
C:\WINDOWS\System32\ntfsnlpa.exe
C:\WINDOWS\System32\trapi12.exe
C:\WINDOWS\System32\wpa.dbl


Je ne dispose pas de silentrunner. As tu un lien et une démo ou faut-il que j'aille sur un autre post (il me semble l'avoir vu qqpart).
0
Réponse 28 / 45
Utilisateur anonyme
 
ici:
http://www.silentrunners.org/Silent%20Runners.vbs
0
Yohan
 
Voici le rapport silentrunners :

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."]
"Zone Labs Client" = ""C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs Inc."]
"Easy-PrintToolBox" = "C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon" ["CANON INC."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"AnyDVD" = ""C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe"" ["SlySoft, Inc."]
"AVGCtrl" = ""C:\Program Files\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"Tau Monitor" = "C:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe" ["Agnitum Ltd."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{51550900-DCAC-11d4-AA0F-0080C87C465B}" = "WayTech MultiMouse"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Ensemble clavier et souris sans fil Labtec\CPDll.dll" [null data]
"{D120D80B-BD26-4A74-8E43-2C2AF0966139}" = "QuickPar ContextMenu extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\QuickPar\QuickParShlExt.dll" ["Peter B Clements"]
"{46E22146-59C0-4136-9233-52E412E2B428}" = "EzCddax extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Easy CD-DA Extractor 8\ezcddax8.dll" [null data]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{B6122A50-EAB5-11D3-9E7F-EBF4F0595714}" = "Tauscan Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Agnitum\Tauscan 1.7\Taumenu.dll" ["Agnitum Ltd."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! wzcnotif\DLLName = "wzcdlg.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
EzCddax\(Default) = "{46E22146-59C0-4136-9233-52E412E2B428}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Easy CD-DA Extractor 8\ezcddax8.dll" [null data]
PowerArchiver\(Default) = "{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}"
-> {CLSID}\InProcServer32\(Default) = "C:\PowerArchiver\PASHLEXT.DLL" ["ConeXware, Inc."]
Quick Par\(Default) = "{D120D80B-BD26-4A74-8E43-2C2AF0966139}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\QuickPar\QuickParShlExt.dll" ["Peter B Clements"]
Tauscan Menu\(Default) = "{B6122A50-EAB5-11D3-9E7F-EBF4F0595714}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Agnitum\Tauscan 1.7\Taumenu.dll" ["Agnitum Ltd."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
Tauscan Menu\(Default) = "{B6122A50-EAB5-11D3-9E7F-EBF4F0595714}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Agnitum\Tauscan 1.7\Taumenu.dll" ["Agnitum Ltd."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
PowerArchiver\(Default) = "{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}"
-> {CLSID}\InProcServer32\(Default) = "C:\PowerArchiver\PASHLEXT.DLL" ["ConeXware, Inc."]
Tauscan Menu\(Default) = "{B6122A50-EAB5-11D3-9E7F-EBF4F0595714}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Agnitum\Tauscan 1.7\Taumenu.dll" ["Agnitum Ltd."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Colline verdoyante.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Yohan & Steph" & "All Users" startup folders:
---------------------------------------------------------------

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"Activer l'ensemble clavier et souris sans fil Labtec" -> shortcut to: "C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe" [empty string]
"Adobe Gamma Loader" -> shortcut to: "C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe /W" [empty string]
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Canon\Easy-WebPrint\Toolband.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Program Files\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Program Files\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Backbone Service, BBDemon, "C:\Program Files\Dassault Systemes\B12\intel_a\code\bin\CATSysDemon.exe -service" ["Dassault Systemes"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 27 seconds, including 5 seconds for message boxes)
0
Yohan
 
ALERTE !

Je viens de repérer un répertoire étrange sur c:
il s'agit de c:\!submit.
Comme par hasard, le fichier HCLEAN32.EXE y était et ANTIVIR a relancé une fenetre de détection.

Comment dois-je procéder ?
Destruction avec Killbox ? en mode sans échec ?
0
Réponse 29 / 45
Utilisateur anonyme
 
demarrer > executer tape cmd

dans la fenetre dos tape ces lignes une apres l'autre et valide

del /a /f C:\WINDOWS\System32\hclean32.exe

del /a /f C:\WINDOWS\System32\ntfsnlpa.exe

del /a /f C:\WINDOWS\System32\trapi12.exe

del /a /f C:\WINDOWS\System32\dmaqy.exe

ensuite repasse le fichier reg (hclean.reg)

et fais un scan ici:
http://webscanner.kaspersky.fr/
apres le chargement du control active X, clic sur suivant
puis clic sur configuration et choisis "étendue"
Choisis l'analyse répertoire et choisis ton ou tes disques durs

c:\submit est ok, il à été cree par killbox (c'est un zip, donc tout ce qui est dedans est inactif)

a+
0
Yohan
 
Bon, j'ai pu supprimer 3 fichiers sur 4, le denier n'a pas été trouvé.
J'ai ensuite lancé kaspersky. Il est en cours d'analyse.
Voilà maintenant 5 minutes qu'il bloque sur le fichier HCLEAN32.EXE du répertoire !submit.

ANTIVIR m'a également réouvert une fenetre d'alerte.

Est-ce que je laisse continuer Kaspersky ou dois-je détruire HCLEAN32 par une autre méthode ?
0
Réponse 30 / 45
Utilisateur anonyme
 
tu peux supprimer le dossier c:\submit, pas de problemes et relance kaspersky
0
Yohan
 
Re bonsoir,

Enfin, l'analyse Kaspersky vient de s'achever. Visiblement il y a pas mal de problèmes.
Je te fais parvenir ci-après le rapport de scan.
Merci de me tenir informé si il y a des actions à mener directement avec kasper car la fenetre est encore active.

Rapport :

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, August 28, 2005 21:24:51
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 28/08/2005
Kaspersky Anti-Virus database records: 146022
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\
F:\

Scan Statistics:
Total number of scanned objects: 118200
Number of viruses found: 16
Number of infected objects: 28
Number of suspicious objects: 0
Duration of the scan process: 7046 sec

Infected Object Name - Virus Name
C:\Program Files\AVPersonal\INFECTED\RDSNDIN.EXE.VIR Infected: not-a-virus:AdWare.FindSpy.a
C:\Program Files\l2mfix\l2mfix\Process.exe Infected: not-a-virus:RiskTool.Win32.Processor.20
C:\WINDOWS\system32\csgkd.exe Infected: Trojan-Dropper.Win32.Vidro.u
C:\WINDOWS\system32\i Infected: Trojan-Downloader.BAT.Ftp.ab
F:\System Volume Information\_restore{86C9FEB8-ECDB-461D-8AAD-FF2E6B9BEC98}\RP148\A0015060.exe/WISE0029.BIN Infected: not-a-virus:AdWare.Gator.1012
F:\System Volume Information\_restore{86C9FEB8-ECDB-461D-8AAD-FF2E6B9BEC98}\RP148\A0015060.exe Infected: not-a-virus:AdWare.Gator.1012
F:\Utilitaires à graver\Antivirus\LM2 Fix\l2mfix.exe/l2mfix/Process.exe Infected: not-a-virus:RiskTool.Win32.Processor.20
F:\Utilitaires à graver\Antivirus\LM2 Fix\l2mfix.exe Infected: not-a-virus:RiskTool.Win32.Processor.20
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0016.BIN/NHInstall.exe Infected: not-a-virus:AdWare.NavExcel.d
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0016.BIN/v2.0.4a.cab/NHelper.dll Infected: not-a-virus:AdWare.NavExcel.b
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0016.BIN/v2.0.4a.cab/NHUninstaller.exe Infected: not-a-virus:AdWare.NavExcel
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0016.BIN/v2.0.4a.cab/NHUpdater.exe Infected: not-a-virus:AdWare.NavExcel.b
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0016.BIN/v2.0.4a.cab Infected: not-a-virus:AdWare.NavExcel.b
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0016.BIN Infected: not-a-virus:AdWare.NavExcel.b
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0017.BIN Infected: not-a-virus:AdWare.NavExcel.i
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0018.BIN/data0001.cab/VVSN.exe Infected: not-a-virus:AdWare.SaveNow.z
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0018.BIN/data0001.cab Infected: not-a-virus:AdWare.SaveNow.z
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0018.BIN Infected: not-a-virus:AdWare.SaveNow.z
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0019.BIN/data0002 Infected: not-a-virus:AdWare.BargainBuddy.h
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0019.BIN/data0003 Infected: not-a-virus:AdWare.BargainBuddy.e
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0019.BIN/data0005 Infected: not-a-virus:AdWare.BargainBuddy.h
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0019.BIN Infected: not-a-virus:AdWare.BargainBuddy.h
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe/WISE0020.BIN Infected: not-a-virus:AdWare.EZula.o
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3\setupwavtomp3.exe Infected: not-a-virus:AdWare.EZula.o
F:\Utilitaires à graver\Internet et communication\Telechargement\Imesh V4\iMeshV3.exe/WISE0019.BIN Infected: not-a-virus:Server-Proxy.Win32.MarketScore.f
F:\Utilitaires à graver\Internet et communication\Telechargement\Imesh V4\iMeshV3.exe/WISE0026.BIN Infected: not-a-virus:AdWare.ToolBar.MyWay.k
F:\Utilitaires à graver\Internet et communication\Telechargement\Imesh V4\iMeshV3.exe/WISE0029.BIN Infected: not-a-virus:AdWare.Gator.4104
F:\Utilitaires à graver\Internet et communication\Telechargement\Imesh V4\iMeshV3.exe Infected: not-a-virus:AdWare.Gator.4104

Scan process completed.
0
Réponse 31 / 45
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
ho tu as continuer afaire des telechargement p2p
defender les avais virer il me semble
0
Réponse 32 / 45
Utilisateur anonyme
 
tout ceux là sont à supprimer :
désolé pour imesh mais il est vérolé, pareil pour mp3 to wav
ils avaient pas etaient virés par bitdef ?

C:\Program Files\AVPersonal\INFECTED\RDSNDIN.EXE.VIR
C:\WINDOWS\system32\csgkd.exe
C:\WINDOWS\system32\i
F:\Utilitaires à graver\Images, son et vidéos\MP3\wav to mp3
F:\Utilitaires à graver\Internet et communication\Telechargement\Imesh V4

pour ceux qui concernent l2mfix n'y touche pas ils sont ok (kav detecte process.exe, car il sert à tuer des processus, et mal utilisé...)

les 2 autres sont dans la restau systeme, une fois que tu as tout supprimé, desactive la et reactive là, ca suffira à virer les points de restau infecté

ensuite, refais un scan de controle

a++
0
Yohan
 
J'ai donc viré les fichiers que tu m'avais indiqué.
Concernant la restauration système, elle était désactivée.
Je l'ai donc activée. Je relance de suite une analyse KASPERSKY.

Je te fais passer le rapport dès que possible.
Jusqu'ici, plus de soucis...apparemment, HCLEAN32.EXE a rendu l'âme !

A+.
0
Yohan > Yohan
 
Une question a deux francs ! y-a t'il un soucis à utiliser clean'up 40 toutes les semaines pour purger les fichiers temp ?
Y-a t'il une meilleure méthode pour nettoyer toutes les M... laissées lors des connexions internet (cookies et autres) ?

Merci d'avance pour vos conseils.
0
Réponse 33 / 45
Utilisateur anonyme
 
lol, non au contraire c'est plutot conseillé

je crois qu'on approche du but

a+
0
Yohan
 
Analyse toujours en cours......RAS pour l'instant.

Je vais donc te souhaiter une bonne nuit car demain faut se lever de bonne heure...boulot oblige !
Je te fais passer les résultats demain matin ...

Suite de l'épisode demain soir.

Merci pour tout jusqu'à maintenant...idem pour Regis et Balltrap.

Salut et a demain

Yohan
0
Yohan
 
Salut à tous,

Quelques news avant de partir au boulot.
Hier soir, j'ai donc relancé une analyse KASPERSKY, je vous joins le rapport ci-après.
Apparemment comme tu me l'a dit (MOE), les lignes L2mfix ne craignent rien, donc pas d'inquiétude...par contre il reste toujours les deux lignes relatives aux fichiers liés à la restauration.
Est-ce que je dois shooter ces deux fichiers manuellement ou est-ce que ca craint rien tel quel ?

Je vous souhaite une très bonne journée à tous...A ce soir pour le bouquet final. Je pense qu'on tient le bon bout.

Rapport KASPERSKY :

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, August 29, 2005 06:59:13
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 28/08/2005
Kaspersky Anti-Virus database records: 146041
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\
F:\

Scan Statistics:
Total number of scanned objects: 118308
Number of viruses found: 2
Number of infected objects: 5
Number of suspicious objects: 0
Duration of the scan process: 6373 sec

Infected Object Name - Virus Name
C:\Program Files\l2mfix\l2mfix\Process.exe Infected: not-a-virus:RiskTool.Win32.Processor.20
F:\System Volume Information\_restore{86C9FEB8-ECDB-461D-8AAD-FF2E6B9BEC98}\RP148\A0015060.exe/WISE0029.BIN Infected: not-a-virus:AdWare.Gator.1012
F:\System Volume Information\_restore{86C9FEB8-ECDB-461D-8AAD-FF2E6B9BEC98}\RP148\A0015060.exe Infected: not-a-virus:AdWare.Gator.1012
F:\Utilitaires à graver\Antivirus\LM2 Fix\l2mfix.exe/l2mfix/Process.exe Infected: not-a-virus:RiskTool.Win32.Processor.20
F:\Utilitaires à graver\Antivirus\LM2 Fix\l2mfix.exe Infected: not-a-virus:RiskTool.Win32.Processor.20

Scan process completed.


Yohan
0
Réponse 34 / 45
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
c est moe qui a fait le plus gros du boulot
a++
0
Réponse 35 / 45
Utilisateur anonyme
 
Moe est un kaiser

Respect a moe et balltrap
0
Réponse 36 / 45
Utilisateur anonyme
 
Bonsoir Régis,
oué ce n'est ni le lieu ni le post pour de faire des gros bisous?
J'avoue que vous 3 vous êtes d'une patience, et vraiment, vous faites plaisir.
Je vous félicite
Amitiés
FM B
0
Réponse 37 / 45
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
merci caro c est sympa
0
Réponse 38 / 45
Utilisateur anonyme
 
Merci ma tite Marie
0
Réponse 39 / 45
Utilisateur anonyme
 
salut

pour caro (marie ?)
merci, ca fait vraiment plaisir

pour yohan

apparement, ce sont toujours les 2 memes points de restau qui sont infectés, desactive la restau systeme sur le disque F, redemarre le pc et reactive là.

a+
0
Yohan
 
Re-salut,

J'ai bien quivi tes conseils pour la restauratio mais rien a faire.
Je te fais passer le scan sur F: uniquement. Il reste les memes pbl.
Est-ce que je peux supprimer ces fichiers depuis l'explorateur ??

Rapport :

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, August 29, 2005 20:14:29
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 29/08/2005
Kaspersky Anti-Virus database records: 146152
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
F:\

Scan Statistics:
Total number of scanned objects: 12465
Number of viruses found: 2
Number of infected objects: 4
Number of suspicious objects: 0
Duration of the scan process: 2101 sec

Infected Object Name - Virus Name
F:\System Volume Information\_restore{86C9FEB8-ECDB-461D-8AAD-FF2E6B9BEC98}\RP148\A0015060.exe/WISE0029.BIN Infected: not-a-virus:AdWare.Gator.1012
F:\System Volume Information\_restore{86C9FEB8-ECDB-461D-8AAD-FF2E6B9BEC98}\RP148\A0015060.exe Infected: not-a-virus:AdWare.Gator.1012
F:\Utilitaires à graver\Antivirus\LM2 Fix\l2mfix.exe/l2mfix/Process.exe Infected: not-a-virus:RiskTool.Win32.Processor.20
F:\Utilitaires à graver\Antivirus\LM2 Fix\l2mfix.exe Infected: not-a-virus:RiskTool.Win32.Processor.20

Scan process completed.
0
Réponse 40 / 45
Utilisateur anonyme
 
salut

oui, juste les fichiers pas les dossiers

pour rendre visible le dossier F:\System Volume Information il faut que tu puisse voir les fichiers systeme (decoche la case dans les options des dossiers)

a+
0
Yohan
 
Excuses moi de revenir à la charge avec mes fichiers de restauration mais l'explorer me signale que l'accès est refusé. Impossible de consulter le répertoire.
Aurais-tu une idée pour détruire ces deux fichiers ?

J'ai essayer avec killbox et il me dit que le fichiern'existe apparemment pas !
0

Discussions similaires

ou telecharger sndrec32.exe svp ?
Soundman -
Micra -

2 réponses
un lien pour telecharger sndrec32.exe
layesanga -
wartib -

2 réponses