[troj swizzor.dq msn plus]

Question

Bonjour,J'étais sur votre forum mais apparemment on ne me répond plus mais je n'étais pas passée par le bon chemin je pense car je suis partie d'une question identique à la mienne posée par quelqu'un dont le problème est résolu (enfin je ne sais pas vraiment)Je repars sur des bases saines et je vous décris l'historique du problème :--------------------------------------------------------------------Message 1 : de sylviemon fils a détecté ce virus troj_swizzor.dq par trend micro j'ai désactivé le processus du fichier infecté (cake dead.exe) puis supprimé ce fichier avec trend micro mais il réapparait à chaque lancement de msn ou d'IE. à l'ouverture d'IE j'arrive toujours sur la page open search web et on arrive pas à en changer (même par regedit). Pour le moment il n'utilise plus IE mais wanadoo pour surfer.Envoi du rapport hijackthis sur le forum :Logfile of HijackThis v1.99.1 Scan saved at 19:43:04, on 29/08/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\WINDOWS\System32\FTRTSVC.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Norton AntiVirus
avapsvc.exe C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Apoint2K\Apoint.exe C:\Program Files\TOSHIBA\PadTouch\PadExe.exe C:\Program Files\ltmoh\Ltmoh.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\TOSHIBA\Power Management\CePMTray.exe C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe C:\Program Files\EzButton\EzButton.EXE C:\Program Files\TOSHIBA\TouchPad\TPTray.exe C:\WINDOWS\System32\ZoomingHook.exe C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe C:\Program Files\MessengerPlus! 3\MsgPlus.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Program Files\Logitech\Video\LogiTray.exe C:\WINDOWS\system32\dla	fswctrl.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe C:\PROGRA~1\Wanadoo\TaskBarIcon.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe C:\Program Files\Microsoft Money\System\mnyexpr.exe C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\Program Files\Logitech\SetPoint\KEM.exe C:\WINDOWS\system32\RAMASST.exe C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE C:\Program Files\Internet Explorer\iexplore.exe c:\progra~1\intern~1\iexplore.exe C:\Program Files\Wanadoo\EspaceWanadoo.exe C:\Program Files\Wanadoo\ComComp.exe C:\PROGRA~1\Wanadoo\Toaster.exe C:\PROGRA~1\Wanadoo\Inactivity.exe C:\PROGRA~1\Wanadoo\PollingModule.exe C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE C:\Program Files\Wanadoo\Watch.exe C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe C:\Program Files\Messenger\msmsgs.exe C:\DOCUME~1\matthieu\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis_199[1].zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yypqnslrwyidwgq.com/7ysb2O5r1ZuHBxa3xVdlP7BCa426Rt/llk_fg37Y_fpY5951CbcVi8fmeRIsU_rK.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.vkozyaaiprvwcalsktytyw.uk/7ysb2O5r1Zs_IzOXK3cMdcL/hK5T7gNOBmWcbXjSakw.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3A19489A-E9DA-F305-50FF-ED1E7A2AEA9E} - C:\DOCUME~1\matthieu\APPLIC~1\FORDMP~1\Cake dead.exe (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file) O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [EzButton] C:\Program Files\EzButton\EzButton.EXE O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe O4 - HKLM\..\Run: [doglovepiletrust] C:\Documents and Settings\All Users\Application Data\InterPlanDogLove\Spam trans.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe" O4 - HKCU\..\Run: [way bash] C:\DOCUME~1\matthieu\APPLIC~1\FRAGTO~1\FaceCash.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM= O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O20 - AppInit_DLLs: MsgPlusLoader.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeRéponse sur le forum pour marche à suivre :Bonjour, Méthode à suivre dans l'ordre... ---------------------------------------------------------------------------- ¤Télécharge ces logiciels mais que tu n‘utilises pas tout de suite: 1/Spybot S&D 1.4 <<nouvelle version http://www.safer-networking.org/fr/index.html Démo d’utilisation (merci à Balltrap34 pour cette réalisation) http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm 2/Ad-Aware SE 1.06 <<nouvelle version http://www.lavasoftusa.com/software/adaware/ -Une aide: http://www.tutopat.com/viewtopic.php?t=1191 - installe le patch français, tu pourras le trouver ici: http://download.lavasoft.de.edgesuite.net/public/pllangs.exe et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation) http://pageperso.aol.fr/balltrap34/adawrevid.asf 3/Clean Up 40: http://pageperso.aol.fr/balltrap34/CleanUp40.exe -aide en image:(merci à Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm ---------------------------------------------------------------------------- ¤Démarre en mode sans échec : Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! (Si F8 ne marche pas utilise la touche F5) ---------------------------------------------------------------------------- ¤Affiche tous les fichiers et dossiers : Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage Coche « afficher les fichiers et dossiers cachés » Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décoche « masquer les extensions dont le type est connu » Puis fais «Ok» pour valider les changements. Et appliquer ! ---------------------------------------------------------------------------- ¤Vide tes fichiers temps et tempory internet file: utilise ceci pour le faire (tu as téléchargé avant) http://pageperso.aol.fr/balltrap34/CleanUp40.exe ---------------------------------------------------------------------------- ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked : O2 - BHO: (no name) - {3A19489A-E9DA-F305-50FF-ED1E7A2AEA9E} - C:\DOCUME~1\matthieu\APPLIC~1\FORDMP~1\Cake dead.exe (file missing) O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file) O4 - HKLM\..\Run: [doglovepiletrust] C:\Documents and Settings\All Users\Application Data\InterPlanDogLove\Spam trans.exe ---------------------------------------------------------------------------- ¤Recherche et supprime ceci: attention seulement les fichiers (si présents) C:\DOCUME~1\matthieu\APPLIC~1\FORDMP C:\Documents and Settings\All Users\Application Data\InterPlanDogLove ---------------------------------------------------------------------------- ¤ Passe Ad-Aware et vire tout ce qu’il trouve ---------------------------------------------------------------------------- ¤ Passe Spybot et vire tout ce qu’il trouve ---------------------------------------------------------------------------- > Tu vides ta poubelle et tu redémarres en mode normal *** Reinstalle msn+vérifie que tu fais bien cette manipulation : http://theroot.chez.tiscali.fr/imgs/tuto/msgplus.jpg ****** telecharge lopxp.zip ici: http://get.yourfile.net/oe73160.zip dezippe le et lance le fichier lopxp.bat, il va generer un rapport, copie et colle le ici *** et refait un HijackThis a+Message de sylvie envoyé sur le forum :Je suis en pleine procédure et je coince sur les fichiers à effacer : C:\DOCUME~1\matthieu...... est un chemin qui n'existe pas dans l'explorateur Sous C:\Documents and settings\All Users\Application Data\InterPlanDogLove j'ai 11 fichiers : Bias five.exe CDROM DENT.exe fragadmin.exe itch ping.exe scrMulti.exe spam trans.exe Body heck.exe Five sixth.exe HeckCreative.exe SECONDNOUN.exe et un fichier oneeq4 (fichier système) Qu'est-ce que j'en fais ?-----------------------------------------------------------------voilà où j'en suis restée et depuis l'ordinateur tourne en mode sans échec.J'espère que quelqu'un (et pourquoi pas régis59) pourra prendre la suite pour m'aider à finir le processus de désinfectionA l'avance merci et à bientôt

jean38 · Answer

alors ton message n'est pas très clair et j'espère comprendre.

Tout d'abord,

première chose, désinstalle msnplus tu le réinstalera plus tard en prenant soin de ne pas accepter les sponsors (c'est une mdr...)

ensuite

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

4) lance hijack, ferme le bloc note et coche les cases devant les lignes, à la fin valide à l’aide du bouton fix checked:

O4 - HKCU\..\Run: [way bash] C:\DOCUME~1\matthieu\APPLIC~1\FRAGTO~1\FaceCash.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

5) Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
France Telecom Routing Table Service
Double clic dessus (FTRTSVC) et clic sur arreter puis dans type de demarrage selectionne désactivé

6) supprime les fichiers
C:\WINDOWS\System32\FTRTSVC.exe
C:\DOCUME~1\matthieu\APPLIC~1\FRAGTO~1\FaceCash.exe

ce doit etre:
C:\Documents and settings\matthieu\application data\Fragto... (quelque chose) \FaceCash.exe

vide ta corbeille redemarre
refait un log hijack on verra plus clair.

a+

Jean

un ami a jean · Answer

salut
je conseilles de les analyser ces fichiers !
C:\Documents and Settings\All Users\Application Data\InterPlanDogLove\Spam trans.exe
C:\DOCUME~1\matthieu\APPLIC~1\FRAGTO~1\FaceCash.exe

ici
http://virusscan.jotti.org/
et ici
http://www.virustotal.com/xhtml/virustotal_en.html

coller les resultats

jean38 · Answer

alors

j'aime bien connaitre mais ami ou ceux qui s'annonce comme tel, je ne comprends plus rien alors:

pour ce qui de c:\DOCUME~1

c'est l'abrevation de document and setting etc.

il existe dans tous les windows.

pour le fichier analysé(FaceCash.exe), perso je le vire sauf s'il te parle. rien chez pas mal de maison, mais un l'indique comme trojan...

pour le reste, je touche pas, voir avec mon ami ce qu'il preconise....

a chcun sa responsabilité...lol

jean

Utilisateur anonyme · Answer

salut jean, sylvie

messenger plus et son sponsor, lol
Tu as installé Messenger plus en acceptant les sponsors(=spyware lop.com).

telecharge lopxp ici:
http://get.yourfile.net/oe73160.zip
dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici

a+

jean38 · Answer

salut Moe,sauf erreur de ma part, manip pôur enlever lop faite...???en plus désinstal. de msn plus ... ???sauf si non fait.a+

jean38 · Answer

Pardon,ce qui n'enlève rien à la pertinence de la manip... a faire.

Real Mona · Answer

Jean,

Je pense que "un ami à jean" n'était autre que Quentin... donc tu vois, il rôde... et joue au concombre masqué !

Biz
Mona

PS : scuse Sylvie d'être intervenue sur ton log, mais j'en profite pour te dire que tu es entre de très bonnes mains !!

jean38 · Answer

vrai amis.... oui c'est sûr.Moe vrai as , oui c'est sur

Utilisateur anonyme · Answer

c'est parti

Imprime, ou enregistre la manip dans le bloc note pour etre sur ne rien oublier et de tout faire dans l'ordre

Déconnecte toi d'internet:

Ferme tout les programmes en cours

Vide le cache de tous tes navigateurs et supprime les cookies:

Pour Internet Explorer:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok

Pour Firefox:
menu 'Outils' > Options
icône 'Vie privée'
rubrique Cache, appuyer sur le bouton "Vider le cache"
rubrique Cookies appuyer sur le bouton "Effacer"
valide ok

Pour Mozilla
Edition > Préférences > Avancé > Cache
clic sur "Vider le cache"
et pour les cookies:
Outils > Gestionnaire de cookies > Gérer les cookies stockés
clic sur "Supprimer les cookies"
valider ok

Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [way bash] C:\DOCUME~1\matthieu\APPLIC~1\FRAGTO~1\FaceCash.exe

valider en cliquant sur [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Recherche et supprime ces dossiers:

C:\Program Files\C2Media
C:\Documents and Settings\All Users\Application Data\InterPlanDogLove
C:\Documents and Settings\matthieu\Application Data\Fragtonsball
C:\Documents and Settings\matthieu\Application Data\Ford mpeg

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, tres important:

:: Supprimer les fichiers temporaires ::

vider tout le contenu des dossiers Temp:

* C:\Documents and Settings\matthieu\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

Ou avec Cleanup:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe

* Ne pas oublier de vider la corbeille !

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

ensuite, toujours en mode sans echec, fais:

demarrer > executer et tape cmd
dans la fenetre dos, copie et colle ceci:

del /a C:\WINDOWS\Tasks\AD7765B191B119D1.job

et valide

toujours dans la fenetre dos, copie et colle ceci:

del /a C:\WINDOWS\Tasks\AE97C4C091FC7D30.job

et valide

redemarre normallement ton pc et reposte un hijack, plus un rapport de lopxp.bat

Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.

a+

jean38 · Answer

pour mona, t'as vu la signature apparue depuis...??? lol

POUR SYLVIE

sais pas si moe toujours là je connait pas ce fix mais il semble que ta machine va s'auto detruire dans les secondes qui suivent... Bye bye

plus serieusement je crois comprendre que tu as un dossier dans programme file qui se nomme C2 media et que c'est pas bien.

donc

Déconnecte toi d'internet:

Ferme tout les programmes en cours

Vide le cache de tous tes navigateurs et supprime les cookies:

Pour Internet Explorer:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok

Pour Firefox:
menu 'Outils' > Options
icône 'Vie privée'
rubrique Cache, appuyer sur le bouton "Vider le cache"
rubrique Cookies appuyer sur le bouton "Effacer"
valide ok

Pour Mozilla
Edition > Préférences > Avancé > Cache
clic sur "Vider le cache"
et pour les cookies:
Outils > Gestionnaire de cookies > Gérer les cookies stockés
clic sur "Supprimer les cookies"
valider ok

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.xailefjdazt.org/x_u1i02lgX86TQ3AlSDY8WJUgN1kze6Ci7EQ0YJCEC6rwGnH17NxrhisW8XRgsbs.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.veyfrfxrzn.com/x_u1i02lgX/VOWTl24MI27WCVqQR/KbFBhjB2m883N4.html
O2 - BHO: (no name) - {D6C657D0-D27E-4C3C-06A2-34AE36AAA093} - C:\DOCUME~1\PASCAL~1\APPLIC~1\EXITPL~1\file build.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKLM\..\Run: [Real That Barb Balm] C:\Documents and Settings\All Users\Application Data\GlueBowsRealThat\Flawfour.exe
O4 - HKCU\..\Run: [BikeObj] C:\DOCUME~1\PASCAL~1\APPLIC~1\32Delete\curbmemo.exe

valider en cliquant sur [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Recherche et supprime:

C:\Program Files\C2Media <-le dossier
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, tres important:

:: Supprimer les fichiers temporaires ::

vider tout le contenu des dossiers Temp:

* C:\Documents and Settings\matthieu\Local Settings\Temp
* C:\Windows\Temp

redemarre refait un log.

Utilisateur anonyme · Answer

lopxp.bat c'est un prog perso, qui permet juste de voir les dossiers qui apparaissent dans application data (endroit ou se loge les dossiers du sponsor), qui liste les taches planifiées et qui recherche le dossier c2media crée par lop.
c'est pas un fix, ca permet juste d'avoir le nom des dossiers en entier et les taches planifiées.

a+

jean38 · Answer

pour sylvie,

suis la manip de moe, je me suis emmelé dans mes copiés collés, je navigue sur 2 becanes et les soir y en a 2 de trop.

comme dirait l'autre j'allais le dire.

Pour Mona, je me fou de ce que pense ceux qui ne nous connaissent pas ce qui est important c'est la sincérité de ce qui est écrit...
et ceux qui le connaisse pensent de même j'éspère...

mais je comprends... chérie.

jean38 · Answer

re Moe,pour çà Recherche et supprime ces dossiers:C:\Program Files\C2MediaC:\Documents and Settings\All Users\Application Data\InterPlanDogLoveC:\Documents and Settings\matthieu\Application Data\FragtonsballC:\Documents and Settings\matthieu\Application Data\Ford mpeg tu les vois sur ton exe ou c'est automatique??je ne les vosi pas apparaitre.pour les 2 xxxxxxxxxxxxx. Job OK mais là? je calle.merci d'avance

jean38 · Answer

Pas de probleme Sylvie,

pour le log tu seras tjrs la bien venue. Pour les exe je pense que ce sont les reguliers de lop que Moe t'a fait supprimer par defaut.. mais je verrais sa reponse pour etre sûr.

Bises

Jean

Utilisateur anonyme · Answer

pour jean

Pas facile d'expliquer, je l'utilise en complément d'hijack
lop crée ces dossiers dans
All Users\Application Data (1 dossier)
nom du compte\Application Data (2 dossiers)
+ fichiers dans les temp
avec hijack ils se reperent assez bien, c'est toujours des noms aleatoires, avec des exe souvent en plusieurs parties de 4 ou 5 lettres maxi.
à force de les voir sur les logs, tu verra qu'ils se reconnaisent facilements

O2 - BHO: (no name) - {3A19489A-E9DA-F305-50FF-ED1E7A2AEA9E} - C:\DOCUME~1\matthieu\APPLIC~1\FORDMP~1\Cake dead.exe (file missing)
O4 - HKCU\..\Run: [way bash] C:\DOCUME~1\matthieu\APPLIC~1\FRAGTO~1\FaceCash.exe
O4 - HKLM\..\Run: [doglovepiletrust] C:\Documents and Settings\All Users\Application Data\InterPlanDogLove\Spam trans.exe

reste plus qu'a comparer avec lopxp.bat pour avoir les noms entiers des dossiers.
les taches planifiées de ce type: AD7765B191B119D1.job
et voir si c2media est là ou pas (il y est pratiquement tout le temps)
voilà

sylvie :

pour winfixer, c'est des pubs qui s'affchent du genre pop-up ou est ce qu'il y a un titre dans la fenetre qui s'affiche (en haut à gauche)

a+

jean38 · Answer

OK bien compris mais pour ceux là??C:\Documents and Settings\All Users\Application Data\InterPlanDogLoveC:\Documents and Settings\matthieu\Application Data\Fragtonsball

Utilisateur anonyme · Answer

je comprend pas ce que tu veut dire, ils apparaissent dans le resultat du prog et dans hijack (le 1er qu'elle à posté)

C:\DOCUME~1\matthieu\APPLIC~1\FORDMP~1\Cake dead.exe (file missing) 
O4 - HKLM\..\Run: [doglovepiletrust] C:\Documents and Settings\All Users\Application Data\InterPlanDogLove\Spam trans.ex

e

jean38 · Answer

wahouu,j'etais pas remonté si loin, je restai sur le dernier...bravo chapeau bas.et merci

Utilisateur anonyme · Answer

bah, de rien

en fait au depart je voulais juste voir le contenu des dossiers application data, parce que tout le monde n'arrive pas localiser un dossier dont le chemin est ecrit comme ca :
C:\DOCUME~1\matthieu\APPLIC~1\FORDMP~1

a+

Utilisateur anonyme · Answer

salut sylvie

le hijack apres reinstall de messenger plus est clean

par contre j'ai un doute sur ce fichier:
C:\Documents and Settings\matthieu\Application Data\wklnhst.dat

est ce que tu peux le faire analyser ici:
http://www.virustotal.com/xhtml/virustotal_en.html
et poste le resultat

pour winfixer, c'est des pubs qui s'affchent du genre pop-up ou est ce qu'il y a un titre dans la fenetre qui s'affiche (en haut à gauche)

a+

jean38 · Answer

et Moe quel est ton point de vue surC:\WINDOWS\System32\FTRTSVC.exe

stael · Answer

desoler de plarler sur le postelle a extrait hijack this dans un fichier temp comment on le rectifie? http://www.commentcamarche.net/forum/affich-1771101-%5Bmsn-plus-encore-lui%5D

Utilisateur anonyme · Answer

salutil faut qu'elle deplace hijackthis.exe du repertoire temporaire vers un dossier qu'elle à crée pour hijacka+

jean38 · Answer

merci pour l'info sylvie car après te l'avoir fait virer tout à l'heure, je vois qu'avec l'instal de msn plus il est revenu...?????çà me choque tout de même mais bon si pas referencer.

Utilisateur anonyme · Answer

pour jean:je viens de voir un trucO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

jean38 · Answer

oui si tu regarde dans les post du dessus je t'avais fait faire la manip pour enlever celà et stopper le service (les services sont uen O23).si tu as encore un moment essaie ceci pour voir:va surhttp://virusscan.jotti.orgpercours pour selectionner C:\WINDOWS\System32\FTRTSVC.exe puis click submitcopie et colle le rapport.

sylvie · Answer

j'essaie l'analyse mais pour le moment le serice est saturé ?je pense que ce fichier vu sa date de création a un rapport avec l'installation du nouveau navigateur wanadoo (pour la livebox) car créé le 25 aout date du téléchargement de wanadoo!!!C'est peut-être pas ça... je ne sais passylvie

sylvie · Answer

bon pas de virus !on va dodo peut-être et on verra demain à moins que tu es encore quelques doutesen tout cas merci de ton obstination à trouver le pourquoi des chosesa tous les internautes qui passeront par ici, je recommande fortement ce forumA plussylvieJotti's malware scan 2.99-TRANSITION_TO_3.00  File to upload & scan:           Service  Service load:  0%        100%   File:  FTRTSVC.exe  Status:  OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)  MD5  d1261099e03eee90976ea19002995b89  Packers detected:  - Scanner results  AntiVir  Found nothing ArcaVir  Found nothing Avast  Found nothing AVG Antivirus  Found nothing BitDefender  Found nothing ClamAV  Found nothing Dr.Web  Found nothing F-Prot Antivirus  Found nothing Fortinet  Found nothing Kaspersky Anti-Virus  Found nothing NOD32  Found nothing Norman Virus Control  Found nothing UNA  Found nothing VBA32  Found nothing    Powered by                 Disclaimer  This service is by no means 100% safe. If this scanner says 'OK', it does not necessarily mean the file is clean. There could be a whole new virus on the loose. NEVER EVER rely on one single product only, not even this service, even though it utilizes several products. Therefore, I cannot and will not be held responsible for any damage caused by results presented by this non-profit online service. Also, I am aware of the implications of a setup like this. I am sure this whole thing is by no means scientifically correct, since this is a fully automated service (although manual correction is possible). I am aware, in spite of efforts to proactively counter these, false positives might occur, for example. I do not consider this a very big issue, so please do not e-mail me about it. This is a simple online scan service, not the university of Wichita. Scanning can take a while, since several scanners are being used, plus the fact some scanners use very high levels of (time consuming) heuristics. Scanners used are Linux versions, differences with Windows scanners may or may not occur. Another note: some scanners will only report one virus when scanning archives with multiple pieces of malware.Virus definitions are updated every hour. There is a 15Mb limit per file. Please refrain from uploading tons of hex-edited or repacked variants of the same sample. Please do not ask for viruses uploaded here, unless you work for an anti-virus vendor. They are not for trade. This is a legitimate service, not a VX site. Viruses uploaded here will be distributed to antivirus vendors without exception. Sponsored by donations (in random order) from: Stormbyte Technologies LLC, The ClamAV project, James Love, Gideon Pertzov, Malcolm Murray, Nigel Thomas, Wendy Dickerson, Anthony Midmore, "ethereal", Mark Rubins, Steve S., Eric Johansen, Eric Schechter, Paul Bokel, Wilders Security, Wilfried Lilie, Prevx, SonicWALL, and some people who prefer to remain anonymous... many thanks to all!    Statistics  Last file scanned at least one scanner reported something about: 00023D71, detected by:Scanner  Malware name  AntiVir  X  ArcaVir  X  Avast  X  AVG Antivirus  X  BitDefender  X  ClamAV  X  Dr.Web  X  F-Prot Antivirus  X  Fortinet  X  Kaspersky Anti-Virus  X  NOD32  X  Norman Virus Control  X  UNA  X  VBA32  Unknown.OvrVirus  You're free to (mis)interpret these automated, flawed statistics at your own discretion. For antivirus comparisons, visit AV comparatives Frequently asked questions - Feedback     Page generated by JTPLCopyright © 2004-2005 Jordi Bosveld <jotti@jotti.org>

sylvie · Answer

Bonjour moe et JeanJe pense que mes problèmes sont résolus non ?On va laisser mon sale gosse de fils surfer sur msn et on verra.Encore merci et dites moi si c'est bien ok.

Utilisateur anonyme · Answer

salut sylviepour moi c'est oksi jamais tu as un probleme n'hésite pas à venir ici.a+

Utilisateur anonyme · Answer

salut sylviece n'est peut etre qu'un plantage, reposte un hijack, histoire de voir si tout est oka++

Utilisateur anonyme · Answer

salut andrew, ca va ?Voilà les (rares) infos que j'ai pu trouver sur l'erreur Tbrun9.xls:Tbrun9.xls et lié au logiciel TextBridge (programme de reconnaissance optique de caractères que certains fabricants incluent avec leur logiciel de scanneur).Apparement, Tbrun9.xls ne semble pas être totalement compatible avec les versions ultérieures d'Excel. voir support microsoft ici:http://support.microsoft.com/default.aspx?id=272066Essaye de faire ce qui est dis sur le lien ci-dessus, redemarre ton pc et reessaye d'ouvrir le fichier excel en question.a+

[troj swizzor.dq msn plus]

32 réponses

Votre réponse

Discussions similaires

Newsletters