A voir également:
- Analyse Hijackthis svp
- Hijackthis windows 10 - Télécharger - Antivirus & Antimalwares
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Analyse performance pc - Guide
- Analyse composant pc - Guide
- Analyse batterie pc - Guide
19 réponses
Utilisateur anonyme
6 sept. 2005 à 20:55
6 sept. 2005 à 20:55
Salut
apparement tu as pris 2 jolis vers
http://www.sophos.com/virusinfo/analyses/w32rbotamp.html
http://www.sophos.com/virusinfo/analyses/w32rbotalw.html
Imprime, ou enregistre la manip dans le bloc note pour etre sur ne rien oublier et de tout faire dans l'ordre
Déconnecte toi d'internet:
Ferme tout les programmes en cours
Vide le cache de tous tes navigateurs et supprime les cookies:
Pour Internet Explorer:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok
Pour Firefox:
menu 'Outils' > Options
icône 'Vie privée'
rubrique Cache, appuyer sur le bouton "Vider le cache"
rubrique Cookies appuyer sur le bouton "Effacer"
valide ok
Pour Mozilla
Edition > Préférences > Avancé > Cache
clic sur "Vider le cache"
et pour les cookies:
Outils > Gestionnaire de cookies > Gérer les cookies stockés
clic sur "Supprimer les cookies"
valider ok
Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
SCSMS32
Double clic dessus et clic sur [arreter] puis dans :
type de demarrage --> sélectionne désactivé.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
ouvre le bloc note et copie et colle ce qui est en gras ci dessous:
REGEDIT4
[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa]
"MSDOS Security Service"=-
"Windows Updating Service"=-
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"MSDOS Security Service"=-
"Windows Updating Service"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"MSDOS Security Service"=-
"Windows Updating Service"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"MSDOS Security Service"=-
"Windows Updating Service"=-
Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer
ensuite double clic sur fix.reg et accepte de fusionner
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll (file missing)
O4 - HKLM\..\Run: [MSDOS Windows Service] MSDOS.PIF
O4 - HKLM\..\RunServices: [MSDOS Windows Service] MSDOS.PIF
O4 - HKCU\..\RunServices: [Windows Updating Service] updating.pif
O4 - HKCU\..\RunServices: [MSDOS Windows Service] MSDOS.PIF
valider en cliquant sur [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime:
Dans le cas ou tu utiliserais la fonction Rechercher:
Assure toi que dans:
Tous les fichiers et tous les dossiers >> Options avancées
• Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
• Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
• Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !
Supprimer les fichiers en suivant le chemin des fichiers infectés, plutot que d'utiliser la fonction "Rechercher"
S'ils sont présents, supprime:
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\System32\MSDOS.PIF
C:\WINDOWS\System32\updating.pif
C:\WINDOWS\scmsm32.exe
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis, clic sur [Open the misc tools section]
clic sur [Delete an NT service]
copie et colle ceci dans le champ
SCSMS
clic sur ok
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, tres important:
:: Supprimer les fichiers temporaires ::
vider tout le contenu des dossiers Temp:
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
Ou avec Cleanup:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
regarder ceci avant d'utiliser:
http://pageperso.aol.fr/balltrap34/democleanup.htm
* Ne pas oublier de vider la corbeille !
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redemarre normalement et fais un scan antivirus ici:
http://webscanner.kaspersky.fr/
apres le chargement du control active X, clic sur suivant
puis clic sur configuration et choisis "étendue"
Choisis l'analyse répertoire et choisis ton ou tes disques durs
poste le rapport du scan + un nouvel hijackthis
Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.
a+
apparement tu as pris 2 jolis vers
http://www.sophos.com/virusinfo/analyses/w32rbotamp.html
http://www.sophos.com/virusinfo/analyses/w32rbotalw.html
Imprime, ou enregistre la manip dans le bloc note pour etre sur ne rien oublier et de tout faire dans l'ordre
Déconnecte toi d'internet:
Ferme tout les programmes en cours
Vide le cache de tous tes navigateurs et supprime les cookies:
Pour Internet Explorer:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok
Pour Firefox:
menu 'Outils' > Options
icône 'Vie privée'
rubrique Cache, appuyer sur le bouton "Vider le cache"
rubrique Cookies appuyer sur le bouton "Effacer"
valide ok
Pour Mozilla
Edition > Préférences > Avancé > Cache
clic sur "Vider le cache"
et pour les cookies:
Outils > Gestionnaire de cookies > Gérer les cookies stockés
clic sur "Supprimer les cookies"
valider ok
Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
SCSMS32
Double clic dessus et clic sur [arreter] puis dans :
type de demarrage --> sélectionne désactivé.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
ouvre le bloc note et copie et colle ce qui est en gras ci dessous:
REGEDIT4
[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa]
"MSDOS Security Service"=-
"Windows Updating Service"=-
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"MSDOS Security Service"=-
"Windows Updating Service"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"MSDOS Security Service"=-
"Windows Updating Service"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"MSDOS Security Service"=-
"Windows Updating Service"=-
Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer
ensuite double clic sur fix.reg et accepte de fusionner
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll (file missing)
O4 - HKLM\..\Run: [MSDOS Windows Service] MSDOS.PIF
O4 - HKLM\..\RunServices: [MSDOS Windows Service] MSDOS.PIF
O4 - HKCU\..\RunServices: [Windows Updating Service] updating.pif
O4 - HKCU\..\RunServices: [MSDOS Windows Service] MSDOS.PIF
valider en cliquant sur [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime:
Dans le cas ou tu utiliserais la fonction Rechercher:
Assure toi que dans:
Tous les fichiers et tous les dossiers >> Options avancées
• Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
• Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
• Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !
Supprimer les fichiers en suivant le chemin des fichiers infectés, plutot que d'utiliser la fonction "Rechercher"
S'ils sont présents, supprime:
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\System32\MSDOS.PIF
C:\WINDOWS\System32\updating.pif
C:\WINDOWS\scmsm32.exe
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis, clic sur [Open the misc tools section]
clic sur [Delete an NT service]
copie et colle ceci dans le champ
SCSMS
clic sur ok
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, tres important:
:: Supprimer les fichiers temporaires ::
vider tout le contenu des dossiers Temp:
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
Ou avec Cleanup:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
regarder ceci avant d'utiliser:
http://pageperso.aol.fr/balltrap34/democleanup.htm
* Ne pas oublier de vider la corbeille !
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redemarre normalement et fais un scan antivirus ici:
http://webscanner.kaspersky.fr/
apres le chargement du control active X, clic sur suivant
puis clic sur configuration et choisis "étendue"
Choisis l'analyse répertoire et choisis ton ou tes disques durs
poste le rapport du scan + un nouvel hijackthis
Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.
a+
Salut moe31, merci
Je vais suivre tes conseils ce soir et posterai le résultat.
Est-ce que ce sont ces vers qui m'empéchent actuellement d'aller sur windowsupdate?
Merci encore,
a+
Enneite
Je vais suivre tes conseils ce soir et posterai le résultat.
Est-ce que ce sont ces vers qui m'empéchent actuellement d'aller sur windowsupdate?
Merci encore,
a+
Enneite
Bonsoir,
J'ai suivi pas à pas les instructions de moe31. Merci encore pour ces instructions.
Voici le rapport du scan et le nouveau log
--------
Rapport du scan kaspersky:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, September 07, 2005 21:38:20
Operating System: Microsoft Windows XP Home Edition, (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 7/09/2005
Kaspersky Anti-Virus database records: 148168
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true
Scan Target - Folders:
C:\
D:\
Scan Statistics:
Total number of scanned objects: 77579
Number of viruses found: 10
Number of infected objects: 14
Number of suspicious objects: 2
Duration of the scan process: 5826 sec
Infected Object Name - Virus Name
C:\WINDOWS\ntfsprotect.exe Infected: Backdoor.Win32.SdBot.aad
C:\WINDOWS\scmsm32.exe Infected: Backdoor.Win32.SdBot.aad
C:\WINDOWS\system32\cmd.ftp Infected: Trojan-Downloader.BAT.Ftp.r
C:\WINDOWS\system32\hpdriver.sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\i Infected: Trojan-Downloader.BAT.Ftp.ab
C:\WINDOWS\system32\MSDOS.PIF Infected: Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\nure.exe Infected: Backdoor.Win32.Rbot.za
C:\WINDOWS\system32\o Infected: Trojan-Downloader.BAT.Ftp.ab
C:\WINDOWS\system32\SetPoint.exe Infected: Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\sys.pif/onekill.exe Suspicious: CryptExe
C:\WINDOWS\system32\sys.pif Suspicious: CryptExe
C:\WINDOWS\system32\TFTP2272 Infected: Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\update.pif Infected: Backdoor.Win32.Rbot.abi
C:\WINDOWS\system32\wuamgrd2.exe Infected: Trojan.Win32.Pakes
C:\WINDOWS\system32\wuamgrd3.exe Infected: Backdoor.Win32.Rbot.aaz
C:\WINDOWS\system32\wuamwin.exe Infected: Backdoor.Win32.Rbot.gen
Scan process completed.
--------
Nouveau log hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 21:39:19, on 07/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\SetPoint.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Messenger\msmsgs.exe
C:\flexlm\lmgrd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\flexlm\ansyslmd.exe
C:\WINDOWS\System32\MSDOS.PIF
C:\WINDOWS\System32\update.pif
C:\Hijackthis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=3C01&lc=040c&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=3C01&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=3C01&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=3C01&lc=040c&s=search&ap=b204
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=3C01&lc=040c&ac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SetPoint] SetPoint.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [System Update Service] update.pif
O4 - HKLM\..\Run: [MSDOS Windows Service] MSDOS.PIF
O4 - HKLM\..\RunServices: [SetPoint] SetPoint.exe
O4 - HKLM\..\RunServices: [System Update Service] update.pif
O4 - HKLM\..\RunServices: [MSDOS Windows Service] MSDOS.PIF
O4 - HKCU\..\Run: [MSDOS Windows Service] MSDOS.PIF
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Update Service] update.pif
O4 - HKCU\..\RunServices: [System Update Service] update.pif
O4 - HKCU\..\RunServices: [MSDOS Windows Service] MSDOS.PIF
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124826398564
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{790891C9-8383-4FAC-BD0D-E9662AE34661}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC2978A9-A62B-4844-9937-45BDDD021A3B}: NameServer = 194.119.228.67 193.74.208.135
O23 - Service: ANSYS FLEXlm license manager - Unknown owner - C:\flexlm\lmgrd.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
moe31 ou quelqu'un d'autre peux-t-il analyser ceci.
merci d'avance,
Enneite
J'ai suivi pas à pas les instructions de moe31. Merci encore pour ces instructions.
Voici le rapport du scan et le nouveau log
--------
Rapport du scan kaspersky:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, September 07, 2005 21:38:20
Operating System: Microsoft Windows XP Home Edition, (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 7/09/2005
Kaspersky Anti-Virus database records: 148168
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true
Scan Target - Folders:
C:\
D:\
Scan Statistics:
Total number of scanned objects: 77579
Number of viruses found: 10
Number of infected objects: 14
Number of suspicious objects: 2
Duration of the scan process: 5826 sec
Infected Object Name - Virus Name
C:\WINDOWS\ntfsprotect.exe Infected: Backdoor.Win32.SdBot.aad
C:\WINDOWS\scmsm32.exe Infected: Backdoor.Win32.SdBot.aad
C:\WINDOWS\system32\cmd.ftp Infected: Trojan-Downloader.BAT.Ftp.r
C:\WINDOWS\system32\hpdriver.sys Infected: Rootkit.Win32.Agent.ae
C:\WINDOWS\system32\i Infected: Trojan-Downloader.BAT.Ftp.ab
C:\WINDOWS\system32\MSDOS.PIF Infected: Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\nure.exe Infected: Backdoor.Win32.Rbot.za
C:\WINDOWS\system32\o Infected: Trojan-Downloader.BAT.Ftp.ab
C:\WINDOWS\system32\SetPoint.exe Infected: Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\sys.pif/onekill.exe Suspicious: CryptExe
C:\WINDOWS\system32\sys.pif Suspicious: CryptExe
C:\WINDOWS\system32\TFTP2272 Infected: Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\update.pif Infected: Backdoor.Win32.Rbot.abi
C:\WINDOWS\system32\wuamgrd2.exe Infected: Trojan.Win32.Pakes
C:\WINDOWS\system32\wuamgrd3.exe Infected: Backdoor.Win32.Rbot.aaz
C:\WINDOWS\system32\wuamwin.exe Infected: Backdoor.Win32.Rbot.gen
Scan process completed.
--------
Nouveau log hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 21:39:19, on 07/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\SetPoint.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Messenger\msmsgs.exe
C:\flexlm\lmgrd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\flexlm\ansyslmd.exe
C:\WINDOWS\System32\MSDOS.PIF
C:\WINDOWS\System32\update.pif
C:\Hijackthis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=3C01&lc=040c&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=3C01&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=3C01&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=3C01&lc=040c&s=search&ap=b204
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=3C01&lc=040c&ac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SetPoint] SetPoint.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [System Update Service] update.pif
O4 - HKLM\..\Run: [MSDOS Windows Service] MSDOS.PIF
O4 - HKLM\..\RunServices: [SetPoint] SetPoint.exe
O4 - HKLM\..\RunServices: [System Update Service] update.pif
O4 - HKLM\..\RunServices: [MSDOS Windows Service] MSDOS.PIF
O4 - HKCU\..\Run: [MSDOS Windows Service] MSDOS.PIF
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Update Service] update.pif
O4 - HKCU\..\RunServices: [System Update Service] update.pif
O4 - HKCU\..\RunServices: [MSDOS Windows Service] MSDOS.PIF
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124826398564
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{790891C9-8383-4FAC-BD0D-E9662AE34661}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC2978A9-A62B-4844-9937-45BDDD021A3B}: NameServer = 194.119.228.67 193.74.208.135
O23 - Service: ANSYS FLEXlm license manager - Unknown owner - C:\flexlm\lmgrd.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
moe31 ou quelqu'un d'autre peux-t-il analyser ceci.
merci d'avance,
Enneite
Utilisateur anonyme
7 sept. 2005 à 22:11
7 sept. 2005 à 22:11
salut Enneite
Apparement ils sont toujours là, mais le scan chez kaspersky à permis d'en trouver pas mal d'autres.
on va changer de methode:
Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
l'aide détaillé de la manip est téléchargeable ici:
http://get.yourfile.net/qn53063.zip
ou en video ici:
http://pageperso.aol.fr/balltrap34/killbox.htm
Imprime, ou enregistre la manip dans le bloc note pour etre sur ne rien oublier et de tout faire dans l'ordre
Déconnecte toi d'internet:
Ferme tout les programmes en cours
Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O4 - HKLM\..\Run: [SetPoint] SetPoint.exe
O4 - HKLM\..\Run: [System Update Service] update.pif
O4 - HKLM\..\Run: [MSDOS Windows Service] MSDOS.PIF
O4 - HKLM\..\RunServices: [SetPoint] SetPoint.exe
O4 - HKLM\..\RunServices: [System Update Service] update.pif
O4 - HKLM\..\RunServices: [MSDOS Windows Service] MSDOS.PIF
O4 - HKCU\..\Run: [MSDOS Windows Service] MSDOS.PIF
O4 - HKCU\..\Run: [System Update Service] update.pif
O4 - HKCU\..\RunServices: [System Update Service] update.pif
O4 - HKCU\..\RunServices: [MSDOS Windows Service] MSDOS.PIF
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
valider en cliquant sur le bouton [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
recherche et supprime ces 2 dossiers
C:\WINDOWS\system32\i
C:\WINDOWS\system32\o
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
si tu as du mal avec cette etape sert toi de l'aide
1- ouvre le bloc notes et copie la liste de fichier en gras ci-dessous
2- surligne toute la liste, puis clic droit dessus et clic sur copier
3- Double-clic sur KillBox.exe
4- Selectionne "Delete on Reboot"
5- dans le menu du haut clic sur File, puis sur paste from clipboard
(tu devrais voir apparaitre la liste des fichiers à supprimer)
6- clic sur le rond rouge
7- une fenetre va apparaitre pour confirmation clic sur OUI
8- une seconde fenetre te demande si tu veux redemarrer clic sur OUI
C:\WINDOWS\ntfsprotect.exe
C:\WINDOWS\scmsm32.exe
C:\WINDOWS\system32\cmd.ftp
C:\WINDOWS\system32\hpdriver.sys
C:\WINDOWS\system32\MSDOS.PIF
C:\WINDOWS\system32\nure.exe
C:\WINDOWS\system32\SetPoint.exe
C:\WINDOWS\system32\sys.pif
C:\WINDOWS\system32\TFTP2272
C:\WINDOWS\system32\update.pif
C:\WINDOWS\system32\wuamgrd2
C:\WINDOWS\system32\wuamgrd3
C:\WINDOWS\system32\wuamwin.exe
C:\WINDOWS\system32\xpjava.exe
C:\WINDOWS\System32\MSDOS.PIF
le pc devrait redemarrer tout seul une fois que tu auras appuyé sur le rond rouge de killbox, si ce n'est pas la cas redemarre manuellement
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
une fois de retour en mode normal refais un scan de controle chez kaspersky (dsl, je sais c'est long mais ton pc et pas mal infecté)
et reposte un rapport hijackthis
Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers
a+
Apparement ils sont toujours là, mais le scan chez kaspersky à permis d'en trouver pas mal d'autres.
on va changer de methode:
Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
l'aide détaillé de la manip est téléchargeable ici:
http://get.yourfile.net/qn53063.zip
ou en video ici:
http://pageperso.aol.fr/balltrap34/killbox.htm
Imprime, ou enregistre la manip dans le bloc note pour etre sur ne rien oublier et de tout faire dans l'ordre
Déconnecte toi d'internet:
Ferme tout les programmes en cours
Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O4 - HKLM\..\Run: [SetPoint] SetPoint.exe
O4 - HKLM\..\Run: [System Update Service] update.pif
O4 - HKLM\..\Run: [MSDOS Windows Service] MSDOS.PIF
O4 - HKLM\..\RunServices: [SetPoint] SetPoint.exe
O4 - HKLM\..\RunServices: [System Update Service] update.pif
O4 - HKLM\..\RunServices: [MSDOS Windows Service] MSDOS.PIF
O4 - HKCU\..\Run: [MSDOS Windows Service] MSDOS.PIF
O4 - HKCU\..\Run: [System Update Service] update.pif
O4 - HKCU\..\RunServices: [System Update Service] update.pif
O4 - HKCU\..\RunServices: [MSDOS Windows Service] MSDOS.PIF
O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)
valider en cliquant sur le bouton [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
recherche et supprime ces 2 dossiers
C:\WINDOWS\system32\i
C:\WINDOWS\system32\o
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
si tu as du mal avec cette etape sert toi de l'aide
1- ouvre le bloc notes et copie la liste de fichier en gras ci-dessous
2- surligne toute la liste, puis clic droit dessus et clic sur copier
3- Double-clic sur KillBox.exe
4- Selectionne "Delete on Reboot"
5- dans le menu du haut clic sur File, puis sur paste from clipboard
(tu devrais voir apparaitre la liste des fichiers à supprimer)
6- clic sur le rond rouge
7- une fenetre va apparaitre pour confirmation clic sur OUI
8- une seconde fenetre te demande si tu veux redemarrer clic sur OUI
C:\WINDOWS\ntfsprotect.exe
C:\WINDOWS\scmsm32.exe
C:\WINDOWS\system32\cmd.ftp
C:\WINDOWS\system32\hpdriver.sys
C:\WINDOWS\system32\MSDOS.PIF
C:\WINDOWS\system32\nure.exe
C:\WINDOWS\system32\SetPoint.exe
C:\WINDOWS\system32\sys.pif
C:\WINDOWS\system32\TFTP2272
C:\WINDOWS\system32\update.pif
C:\WINDOWS\system32\wuamgrd2
C:\WINDOWS\system32\wuamgrd3
C:\WINDOWS\system32\wuamwin.exe
C:\WINDOWS\system32\xpjava.exe
C:\WINDOWS\System32\MSDOS.PIF
le pc devrait redemarrer tout seul une fois que tu auras appuyé sur le rond rouge de killbox, si ce n'est pas la cas redemarre manuellement
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
une fois de retour en mode normal refais un scan de controle chez kaspersky (dsl, je sais c'est long mais ton pc et pas mal infecté)
et reposte un rapport hijackthis
Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci moe31, c'est très sympa de ta part.
J'avais lancé Hijackthis en plus au milieu de ta procédure et les fichiers suspects avaient disparu. Je pense donc qu'ils sont revenus ensuite...
N'est-ce pas parce que je suis sans antivirus pendant le scan on-line? Est-ce qu'AVG saurait faire la même chose?
J'ai peut-être aussi des virus qui reviennent parce que je n'ai pas updaté windows et IE. En fait je n'y arrive pas. C'est étrange, impossible d'aller sur windowsupdate: "impossible de trouver le serveur". idem pour microsoft.com, sophos, etc...
Qu'en penses-tu?
J'avais lancé Hijackthis en plus au milieu de ta procédure et les fichiers suspects avaient disparu. Je pense donc qu'ils sont revenus ensuite...
N'est-ce pas parce que je suis sans antivirus pendant le scan on-line? Est-ce qu'AVG saurait faire la même chose?
J'ai peut-être aussi des virus qui reviennent parce que je n'ai pas updaté windows et IE. En fait je n'y arrive pas. C'est étrange, impossible d'aller sur windowsupdate: "impossible de trouver le serveur". idem pour microsoft.com, sophos, etc...
Qu'en penses-tu?
Utilisateur anonyme
7 sept. 2005 à 22:37
7 sept. 2005 à 22:37
salut
possible que ce soit les virus qui bloque l'acces à windowsupdate.
Il sont peut etre revenu car on ne connaissait les autres fichiers detectés par kaspersky, qui ont pu relancer tout ca.
C'est surtout d'un firewall que tu aurais besoin et ensuite de faire un windowsupdate.
Pour avg, je ne sais pas s'il les supprimera tous, tu peux tenter
a+
possible que ce soit les virus qui bloque l'acces à windowsupdate.
Il sont peut etre revenu car on ne connaissait les autres fichiers detectés par kaspersky, qui ont pu relancer tout ca.
C'est surtout d'un firewall que tu aurais besoin et ensuite de faire un windowsupdate.
Pour avg, je ne sais pas s'il les supprimera tous, tu peux tenter
a+
Le fierwall XP suffit?
Je peux le laisser activé pendant la procédure que tu m'as donné?
Merci,
Enneite
Je peux le laisser activé pendant la procédure que tu m'as donné?
Merci,
Enneite
Utilisateur anonyme
8 sept. 2005 à 13:03
8 sept. 2005 à 13:03
désolé, mais le firewall d'xp ne suffit pas (c'est une passoire)
tu peux en trouver de tres bons et gratuits:
voir ici:
http://www.inoculer.com/firewall5.php3
a+
tu peux en trouver de tres bons et gratuits:
voir ici:
http://www.inoculer.com/firewall5.php3
a+
Bonsoir moe31,
Merci pour le conseil du firewall. Je viens de télécharger celui de Kerio. Puis j'attaque la 2ème procédure que tu m'a donné.
A+
Enneite
Merci pour le conseil du firewall. Je viens de télécharger celui de Kerio. Puis j'attaque la 2ème procédure que tu m'a donné.
A+
Enneite
Utilisateur anonyme
9 sept. 2005 à 21:32
9 sept. 2005 à 21:32
salut enneite
Quand tu aura fais la manip et redemarrer ton pc, refais un scan chez kaspersky.
a+++
Quand tu aura fais la manip et redemarrer ton pc, refais un scan chez kaspersky.
a+++
Salut moe31,
Je viens de faire un scan Xofspy après avoir suivi ta procédure (c'est super bien expliqué, merci!) mais juste avant de lancer kaspersky.
Il m'annonce 2 virus: Mytob et Fivsec.
ça t'éclaire sur mon infection?
A+
Enneite
Je viens de faire un scan Xofspy après avoir suivi ta procédure (c'est super bien expliqué, merci!) mais juste avant de lancer kaspersky.
Il m'annonce 2 virus: Mytob et Fivsec.
ça t'éclaire sur mon infection?
A+
Enneite
Utilisateur anonyme
9 sept. 2005 à 22:18
9 sept. 2005 à 22:18
tu as les noms des fichiers concernés ?
est ce que tu peux reposter un hijack
a+
est ce que tu peux reposter un hijack
a+
Re,
Mytob:
- SOFTWARE\Microsoft\OLE\WINTASK
- System\CurrentControlSet\Control\Lsa\WINTASK
Fivsec:
- SOFTWARE\Policies\Microsoft\windowsUpdate\DoNotAllowXPSP2
Je vais maintenant faire un hijack
A+
Enneite
Mytob:
- SOFTWARE\Microsoft\OLE\WINTASK
- System\CurrentControlSet\Control\Lsa\WINTASK
Fivsec:
- SOFTWARE\Policies\Microsoft\windowsUpdate\DoNotAllowXPSP2
Je vais maintenant faire un hijack
A+
Enneite
Re,
Voici le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 22:24:16, on 09/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Messenger\msmsgs.exe
C:\flexlm\lmgrd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\flexlm\ansyslmd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Hijackthis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=3C01&lc=040c&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=3C01&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=3C01&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=3C01&lc=040c&s=search&ap=b204
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=3C01&lc=040c&ac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124826398564
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{790891C9-8383-4FAC-BD0D-E9662AE34661}: NameServer = 192.168.0.1
O23 - Service: ANSYS FLEXlm license manager - Unknown owner - C:\flexlm\lmgrd.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
Y a du nouveau?
NB: je n'ai pas encore refait de scan kaspersky.
A+
Voici le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 22:24:16, on 09/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Messenger\msmsgs.exe
C:\flexlm\lmgrd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\flexlm\ansyslmd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Hijackthis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=3C01&lc=040c&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=3C01&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=3C01&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=3C01&lc=040c&s=search&ap=b204
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=3C01&lc=040c&ac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124826398564
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{790891C9-8383-4FAC-BD0D-E9662AE34661}: NameServer = 192.168.0.1
O23 - Service: ANSYS FLEXlm license manager - Unknown owner - C:\flexlm\lmgrd.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
Y a du nouveau?
NB: je n'ai pas encore refait de scan kaspersky.
A+
Utilisateur anonyme
9 sept. 2005 à 23:01
9 sept. 2005 à 23:01
apparement, je ne vois plus rien de suspect dans ton hijack, mais il faut faire le scan chez kaspersky pour etre sur qu'il ne reste plus rien de mauvais.
pour les 2 que trouve xsoftspy, ce sont des entrées dans le registre et pas des fichiers, on s'en occupera apres le resultat du scan.
a+
pour les 2 que trouve xsoftspy, ce sont des entrées dans le registre et pas des fichiers, on s'en occupera apres le resultat du scan.
a+
Super! et merci beaucoup.
Je posterai encore le scan de kaspersky demain.
J'ai aussi installé Kerio Personnal Firewall. Et je suis en train de faire un windowsupdate.
Est-ce qu'avec AVG free edition + Kerio Personnal Firewall je suis bien protégé?
A+
Ennaite
Je posterai encore le scan de kaspersky demain.
J'ai aussi installé Kerio Personnal Firewall. Et je suis en train de faire un windowsupdate.
Est-ce qu'avec AVG free edition + Kerio Personnal Firewall je suis bien protégé?
A+
Ennaite
Utilisateur anonyme
9 sept. 2005 à 23:42
9 sept. 2005 à 23:42
c'est pas mal, il ne te manque plus que les antispywares.
surtout si tu surfe avec internet explorer.
* Spybot S&D version 1.4:
http://spybot.safer-networking.de/fr/mirrors/index.html
l'aide:
http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php#ssd_02
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
* Ad-aware 1.06:
http://www.lavasoftusa.com/french/support/download/
l'aide:
http://www.tutopat.com/viewtopic.php?t=1191
une petite video:
http://pageperso.aol.fr/balltrap34/adawrevid.asf
Le patch francais:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
une fois installé, tu choisis la langue dans les parametres d'ad-aware.
clic sur l'engrenage puis sur interface choisis french et clic sur proceed pour valider
Bien lire l'aide, et mettre à jours avant de les utiliser.
il existe d'autres prog pour securiser un peu plus ton pc, avec entre autre:
Pour sécuriser un peu plus son pc:
* Safe XP:
http://theorica.click-now.net/download.htm
* Zebprotect:
http://telechargement.zebulon.fr/123-zeb-protect.html
L'aide à lire avant:
http://www.zebulon.fr/articles/zebprotect.php
a+++++
surtout si tu surfe avec internet explorer.
* Spybot S&D version 1.4:
http://spybot.safer-networking.de/fr/mirrors/index.html
l'aide:
http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php#ssd_02
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
* Ad-aware 1.06:
http://www.lavasoftusa.com/french/support/download/
l'aide:
http://www.tutopat.com/viewtopic.php?t=1191
une petite video:
http://pageperso.aol.fr/balltrap34/adawrevid.asf
Le patch francais:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
une fois installé, tu choisis la langue dans les parametres d'ad-aware.
clic sur l'engrenage puis sur interface choisis french et clic sur proceed pour valider
Bien lire l'aide, et mettre à jours avant de les utiliser.
il existe d'autres prog pour securiser un peu plus ton pc, avec entre autre:
Pour sécuriser un peu plus son pc:
* Safe XP:
http://theorica.click-now.net/download.htm
* Zebprotect:
http://telechargement.zebulon.fr/123-zeb-protect.html
L'aide à lire avant:
http://www.zebulon.fr/articles/zebprotect.php
a+++++
Je me lance dans l'installation de la totale ? ou bien il faut en choisir un ?
Merci pour tous ces conseils,
Enneite
Merci pour tous ces conseils,
Enneite
Utilisateur anonyme
10 sept. 2005 à 00:10
10 sept. 2005 à 00:10
pour les antispy, installe les deux, ils sont complémentaires
pour safe xp, tu peux voir à quoi ca ressemble ici:
http://www.zebulon.fr/astuces/astuce-windows-146.html
il permet de parametrer pas mal de choses au niveau sécu
a+
pour safe xp, tu peux voir à quoi ca ressemble ici:
http://www.zebulon.fr/astuces/astuce-windows-146.html
il permet de parametrer pas mal de choses au niveau sécu
a+
