Cheval de troie qui m'échappe !
Gr'M
Messages postés
15
Statut
Membre
-
Malekal_morte- Messages postés 184348 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184348 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour a tous
Je vais essayer de faire simple rapide et précis ^^
J'ai windows vista.Il y a environ 4 ou 5 jours je surfais normalement sur internet quand d'un coup je reçois une alerte d'antivir "tentative d'intrusion blablabla" je fais refuser l'accès tout va bien ...Mais dix minutes plus tard je reçois la meme alerte,et une autre,et une autre je suis rapidement submergé par ces attaques.Mon ordi plante je n'ai nul autre choix que de reseter.
Depuis ce moment mon ordi a plusieurs symptomes :
=> il rame
=>disque dur qui travail sans cesse (ainsi que ventilo toujours au taquet)
=>beaucoup + de pubs
=>IE 8 qui fait des siennes (changement de page d'acceuil et moteur de recherche],je ferme un onglet ça ferme tout la page)
=>quand je veux lancer un logiciel,je double clique sur l'icone,je sens qu'il travail ...mais rien ne se passe.
=>enfin plein de petites config changent toutes seules (par exemple je ne peux plus afficher les fichiers cachés,"executer" qui disparait de demarrer a chaque démarrage etc)
Pour info j'ai antivir en antivirus et kerio spf en pare feu.
Donc je scanne tout ça avec antivir et a2free,il me sort une liste de facilement 25 "hauts risques",je supprime tout sans probleme.
Je redémarre et là plein d'erreur de dll invalides hop un coup de ccleaner,tout réparer,je redémarre a nouveau et surprise !!encore plein d'alertes antivir a la mise en route de la machine.
Il s'avère donc que le fichier qui me donne tant de mal est nnkjji.dll dans system32 et le trojan en question est TR/agent2.csdh (plus sur de l'ordre de "csdh" lol).
Et donc impossible de le supprimer ("vous devez disposer d'une autorisation") et j'ai essayé beaucoup,beaucoup de manip sans succès que ce soit antivir,a2free,ccleaner,spybot,secuser en ligne,malwarebytes,unlocker le tout en mode normal et en mode sans echec c'est pareil "impossible de supprimer ou déplacer nnkjji.dll"
Meme avec hijackthis (mais suis pas sur que je fasse une bonne manip) je trouve une ligne run nnkjji.dll je fais fix checked et nnkjii disparait mais j'ai un message d'erreur a répétion "error nnkjji.dll" qui ne s'arrete pas tant que je ne redémarre pas l'ordi (et sa va assez vite en plus,en 10 secondes une bonne dizaine de fenêtres !!)
Donc voila je ne sais plus quoi faire,je précise aussi que je suis administrateur (j'ai deja fait la manip dans propriété =>securité etc),je n'ai pas (ou plus j'en sais rien)de points de restauration,en P2P j'ai eMule et bitcomet d'installé mais je ne m'en sert que très peu (au moins 2 mois qu'il n'ont pas tourné).
Je sollicite votre aide car c'est bien la premiere fois que bloque comme ça !!Mais merci de m'avoir lu jusqu'ici !!en espérant trouver une solution a mon problème je vous souhaite une agréable soirée.
Jérémy
Ps voici mon rapport hijackthis pour les courageux :-O
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:52:02, on 09/06/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
E:\Jeux_Logiciels\Unlocker\UnlockerAssistant.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
E:\DL\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {91C18ED5-5E1C-4AE5-A148-A861DE8C8E16} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: voguecash browser enhancer - {212A1C95-1D8E-C420-0A73-D031C505A429} - (no file)
O2 - BHO: Street-Ads Browser Enhancer degjxbua - {2D4876AF-8928-4177-981A-B32460E8A345} - C:\Windows\system32\degjxbua.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Sky-Banners Browser Enhancer utrwfiub - {C6EE9231-D4DA-43CA-BC40-EDD16331228F} - C:\Windows\system32\utrwfiub.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: (no name) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - (no file)
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O3 - Toolbar: IsoBuster Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [MChk] C:\Windows\system32\nnwomtro.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [yaabbysys] rundll32.exe "nnkjji.dll",DllRegisterServer
O4 - HKLM\..\Run: [UnlockerAssistant] "E:\Jeux_Logiciels\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [geedefsys] rundll32.exe "nnkjji.dll",DllRegisterServer
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [byvtqpsys] rundll32.exe "nnkjji.dll",DllRegisterServer (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [byvtqpsys] rundll32.exe "nnkjji.dll",DllRegisterServer (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21 (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll/206 (file missing)
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: SW Distributed TS Coordinator Service (CoordinatorServiceHost) - Dassault Systèmes SolidWorks Corp. - E:\Jeux_Logiciels\Solidworks\swScheduler\DTSCoordinatorService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - https://sourceforge.net/p/libusb-win32/wiki/Home/ - C:\Windows\system32\libusbd-nt.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Remote Solver for Flow Simulation 2009 - Unknown owner - E:\Jeux_Logiciels\Solidworks\COSMOS\binCFW\StandAloneSlv.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
Je vais essayer de faire simple rapide et précis ^^
J'ai windows vista.Il y a environ 4 ou 5 jours je surfais normalement sur internet quand d'un coup je reçois une alerte d'antivir "tentative d'intrusion blablabla" je fais refuser l'accès tout va bien ...Mais dix minutes plus tard je reçois la meme alerte,et une autre,et une autre je suis rapidement submergé par ces attaques.Mon ordi plante je n'ai nul autre choix que de reseter.
Depuis ce moment mon ordi a plusieurs symptomes :
=> il rame
=>disque dur qui travail sans cesse (ainsi que ventilo toujours au taquet)
=>beaucoup + de pubs
=>IE 8 qui fait des siennes (changement de page d'acceuil et moteur de recherche],je ferme un onglet ça ferme tout la page)
=>quand je veux lancer un logiciel,je double clique sur l'icone,je sens qu'il travail ...mais rien ne se passe.
=>enfin plein de petites config changent toutes seules (par exemple je ne peux plus afficher les fichiers cachés,"executer" qui disparait de demarrer a chaque démarrage etc)
Pour info j'ai antivir en antivirus et kerio spf en pare feu.
Donc je scanne tout ça avec antivir et a2free,il me sort une liste de facilement 25 "hauts risques",je supprime tout sans probleme.
Je redémarre et là plein d'erreur de dll invalides hop un coup de ccleaner,tout réparer,je redémarre a nouveau et surprise !!encore plein d'alertes antivir a la mise en route de la machine.
Il s'avère donc que le fichier qui me donne tant de mal est nnkjji.dll dans system32 et le trojan en question est TR/agent2.csdh (plus sur de l'ordre de "csdh" lol).
Et donc impossible de le supprimer ("vous devez disposer d'une autorisation") et j'ai essayé beaucoup,beaucoup de manip sans succès que ce soit antivir,a2free,ccleaner,spybot,secuser en ligne,malwarebytes,unlocker le tout en mode normal et en mode sans echec c'est pareil "impossible de supprimer ou déplacer nnkjji.dll"
Meme avec hijackthis (mais suis pas sur que je fasse une bonne manip) je trouve une ligne run nnkjji.dll je fais fix checked et nnkjii disparait mais j'ai un message d'erreur a répétion "error nnkjji.dll" qui ne s'arrete pas tant que je ne redémarre pas l'ordi (et sa va assez vite en plus,en 10 secondes une bonne dizaine de fenêtres !!)
Donc voila je ne sais plus quoi faire,je précise aussi que je suis administrateur (j'ai deja fait la manip dans propriété =>securité etc),je n'ai pas (ou plus j'en sais rien)de points de restauration,en P2P j'ai eMule et bitcomet d'installé mais je ne m'en sert que très peu (au moins 2 mois qu'il n'ont pas tourné).
Je sollicite votre aide car c'est bien la premiere fois que bloque comme ça !!Mais merci de m'avoir lu jusqu'ici !!en espérant trouver une solution a mon problème je vous souhaite une agréable soirée.
Jérémy
Ps voici mon rapport hijackthis pour les courageux :-O
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:52:02, on 09/06/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
E:\Jeux_Logiciels\Unlocker\UnlockerAssistant.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
E:\DL\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {91C18ED5-5E1C-4AE5-A148-A861DE8C8E16} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: voguecash browser enhancer - {212A1C95-1D8E-C420-0A73-D031C505A429} - (no file)
O2 - BHO: Street-Ads Browser Enhancer degjxbua - {2D4876AF-8928-4177-981A-B32460E8A345} - C:\Windows\system32\degjxbua.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Sky-Banners Browser Enhancer utrwfiub - {C6EE9231-D4DA-43CA-BC40-EDD16331228F} - C:\Windows\system32\utrwfiub.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: (no name) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - (no file)
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O3 - Toolbar: IsoBuster Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [MChk] C:\Windows\system32\nnwomtro.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [yaabbysys] rundll32.exe "nnkjji.dll",DllRegisterServer
O4 - HKLM\..\Run: [UnlockerAssistant] "E:\Jeux_Logiciels\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [geedefsys] rundll32.exe "nnkjji.dll",DllRegisterServer
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [byvtqpsys] rundll32.exe "nnkjji.dll",DllRegisterServer (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [byvtqpsys] rundll32.exe "nnkjji.dll",DllRegisterServer (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21 (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll/206 (file missing)
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: SW Distributed TS Coordinator Service (CoordinatorServiceHost) - Dassault Systèmes SolidWorks Corp. - E:\Jeux_Logiciels\Solidworks\swScheduler\DTSCoordinatorService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - https://sourceforge.net/p/libusb-win32/wiki/Home/ - C:\Windows\system32\libusbd-nt.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Remote Solver for Flow Simulation 2009 - Unknown owner - E:\Jeux_Logiciels\Solidworks\COSMOS\binCFW\StandAloneSlv.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
A voir également:
- Cheval de troie qui m'échappe !
- Antivirus cheval de troie gratuit - Télécharger - Antivirus & Antimalwares
- Site pour retrouver le film dont le titre vous échappe - Télécharger - Divers TV & Vidéo
- Ordinateur bloqué cheval de troie - Accueil - Arnaque
- Qu'est ce que le cheval au poker - Forum Virus
- Comment se débarrasser d'un cheval de troie ✓ - Forum Virus
18 réponses
Salut,
Sauvegarde tes documents importants.
Tente ça :
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Sauvegarde tes documents importants.
Tente ça :
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
D'accord merci.je sauvegarde et j'essaie !!Au passage j'ai oublié un petit détail : nnkjji n'apparait plus dans system 32 mais est bien la quand je scanne le dossier (peu etre caché mais je peu plus verifier)
Bon bééééh je ne peux pas faire de rapport,tout commence bien et dès que j'ai la fenetre "recherche de fichier infectés" mon ecran devient tout noir puis après une dizaine de minutes j'ai l'ecran sur fond bleu "windows a dû redémarrer [...]debut vidage memoire cache"
Que faire ?
Que faire ?
OK :)
Fais un scan Malwarebyte Anti-Malware : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Tuto d'aide à l'utilisation : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Tu fais un scan et tu mets en quarantaine et voila.
Ensuite :
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Sous Custom Scans/Fixes, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
Them crooked vultures this evening :D
Fais un scan Malwarebyte Anti-Malware : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Tuto d'aide à l'utilisation : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Tu fais un scan et tu mets en quarantaine et voila.
Ensuite :
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Sous Custom Scans/Fixes, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
Them crooked vultures this evening :D
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Grrr malewarebytes ne se lance pas (une tache apparait dans le gestionnaire puis disparait au bout d'une demi seconde).Tu vas finir par pété un boulon avant moi lol.
Mais je vais réessayer combofix j'ai peut etre mal fait quelque chose,il faut que je coupe internet ou pas ?
merci encore
Mais je vais réessayer combofix j'ai peut etre mal fait quelque chose,il faut que je coupe internet ou pas ?
merci encore
bha non.
Il doit se faire killer.
Y a peut-être un rootkit d'où le plantage avec Combofix, ça rend le système instable.
Tu peux essayer Malwarebyte en mode sans échec - il va peut-être tourner :
Redémarrez l'ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
et scanne avec Malwarebyte
Il doit se faire killer.
Y a peut-être un rootkit d'où le plantage avec Combofix, ça rend le système instable.
Tu peux essayer Malwarebyte en mode sans échec - il va peut-être tourner :
Redémarrez l'ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
et scanne avec Malwarebyte
Meme en mode sans echec il ne veut rien entendre.Je refait la manip avec combofix,si ça ne marche toujours pas je vais me coucher lol,et oui le bac passe avant mon ordi !!!
Bonne soirée
Bonne soirée
Salut a tous
Me revoila,j'ai fini mes tp bac je peux donc un peu m'occupé de ce foutu virus.
J'ai réussi a lancer malwarebytes en renommant les exe,des c'est fois des trucs tout cons lol.
Donc voici mon deuxieme rapport malwarebytes (j"en ai fait un,redémarré puis rescanné)et j'ai toujours ces malwares qui reviennent et de plus nnkjji n'est pas détecter alors qu'il est a chaque demarrage par antivir.
aMalwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4184
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18904
10/06/2010 15:52:41
mbam-log-2010-06-10 (15-52-41).txt
Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 273810
Temps écoulé: 1 heure(s), 41 minute(s), 9 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 15
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9c4a9429-8503-43bf-bed9-ad095dae1ee6} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9c4a9429-8503-43bf-bed9-ad095dae1ee6} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9c4a9429-8503-43bf-bed9-ad095dae1ee6} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9c4a9429-8503-43bf-bed9-ad095dae1ee6} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adgj.aghlp (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adgj.aghlp.1 (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr.1.0 (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6ffd8eda-e1c3-4c7a-9392-81c275bc025e} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6ffd8eda-e1c3-4c7a-9392-81c275bc025e} (Adware.AdRotator) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\opqoljsys (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pmllifsys (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jkkjjjsys (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jkkjjjsys (Trojan.Vundo) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\System32\uoocd.dll (Adware.EZlife) -> Delete on reboot.
C:\Windows\System32\drivers\mmmxxg.sys (Trojan.Rootkit) -> Quarantined and deleted successfully.
C:\Windows\System32\qoocd.dll (Adware.AdRotator) -> Delete on reboot.
Je vais de ce pas faire un rapport otl.
Bonne soirée
ps Marie fais comme chez toi ^^ lol
Me revoila,j'ai fini mes tp bac je peux donc un peu m'occupé de ce foutu virus.
J'ai réussi a lancer malwarebytes en renommant les exe,des c'est fois des trucs tout cons lol.
Donc voici mon deuxieme rapport malwarebytes (j"en ai fait un,redémarré puis rescanné)et j'ai toujours ces malwares qui reviennent et de plus nnkjji n'est pas détecter alors qu'il est a chaque demarrage par antivir.
aMalwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4184
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18904
10/06/2010 15:52:41
mbam-log-2010-06-10 (15-52-41).txt
Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 273810
Temps écoulé: 1 heure(s), 41 minute(s), 9 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 15
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9c4a9429-8503-43bf-bed9-ad095dae1ee6} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9c4a9429-8503-43bf-bed9-ad095dae1ee6} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9c4a9429-8503-43bf-bed9-ad095dae1ee6} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9c4a9429-8503-43bf-bed9-ad095dae1ee6} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adgj.aghlp (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adgj.aghlp.1 (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr.1.0 (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6ffd8eda-e1c3-4c7a-9392-81c275bc025e} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6ffd8eda-e1c3-4c7a-9392-81c275bc025e} (Adware.AdRotator) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\opqoljsys (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pmllifsys (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jkkjjjsys (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jkkjjjsys (Trojan.Vundo) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\System32\uoocd.dll (Adware.EZlife) -> Delete on reboot.
C:\Windows\System32\drivers\mmmxxg.sys (Trojan.Rootkit) -> Quarantined and deleted successfully.
C:\Windows\System32\qoocd.dll (Adware.AdRotator) -> Delete on reboot.
Je vais de ce pas faire un rapport otl.
Bonne soirée
ps Marie fais comme chez toi ^^ lol
Bonjour a tous
J'ai enfin fini mes tp bac je vais pouvoir passer u peu plus de temps sur ce foutu trojan.
J'ai réussi a lancer malwarebytes en changeant les noms des exe,des fois c'est des truc tout bete mdr.
Bref mon souci c'est que nnkjji n'est pas détecté alors qu'il l'est par antivir et un autre souci c'est que j'ai fait deux scans : un premier,je redémarre,puis un autre et malgrés une suppression des problemes trouvés,beaucoup sont revenus.
voici donc mes rapports otl et extras :
OTL http://www.cijoint.fr/cjlink.php?file=cj201006/cijPjmGXux.txt
extras http://www.cijoint.fr/cjlink.php?file=cj201006/cijxN14cpk.txt
Voili voilou j'attend vos commentaires !!
Merci et bonne soirée
ps Marie fais comme chez toi ^^ lol
J'ai enfin fini mes tp bac je vais pouvoir passer u peu plus de temps sur ce foutu trojan.
J'ai réussi a lancer malwarebytes en changeant les noms des exe,des fois c'est des truc tout bete mdr.
Bref mon souci c'est que nnkjji n'est pas détecté alors qu'il l'est par antivir et un autre souci c'est que j'ai fait deux scans : un premier,je redémarre,puis un autre et malgrés une suppression des problemes trouvés,beaucoup sont revenus.
voici donc mes rapports otl et extras :
OTL http://www.cijoint.fr/cjlink.php?file=cj201006/cijPjmGXux.txt
extras http://www.cijoint.fr/cjlink.php?file=cj201006/cijxN14cpk.txt
Voili voilou j'attend vos commentaires !!
Merci et bonne soirée
ps Marie fais comme chez toi ^^ lol
Il m'a envoyé en PM :
J'ai enfin fini mes tp bac je vais pouvoir passer u peu plus de temps sur ce foutu trojan.
J'ai réussi a lancer malwarebytes en changeant les noms des exe,des fois c'est des truc tout bete mdr.
Bref mon souci c'est que nnkjji n'est pas détecté alors qu'il l'est par antivir et un autre souci c'est que j'ai fait deux scans : un premier,je redémarre,puis un autre et malgrés une suppression des problemes trouvés,beaucoup sont revenus.
voici donc mes rapports otl et extras :
OTL http://www.cijoint.fr/cjlink.php?file=cj201006/cijPjmGXux.txt
extras http://www.cijoint.fr/cjlink.php?file=cj201006/cijxN14cpk.txt
Voili voilou j'attend vos commentaires !!
Merci et bonne soirée
Ps si je vous envoie ce message en mp c'est que je ne peux plus poster sur le forum,lorsque je valide mon msg ça me marque "vous avez deja posté ce message" alors qu'il n'apparait ni dans le sujet ni dans le nombre de reponse :S
J'ai enfin fini mes tp bac je vais pouvoir passer u peu plus de temps sur ce foutu trojan.
J'ai réussi a lancer malwarebytes en changeant les noms des exe,des fois c'est des truc tout bete mdr.
Bref mon souci c'est que nnkjji n'est pas détecté alors qu'il l'est par antivir et un autre souci c'est que j'ai fait deux scans : un premier,je redémarre,puis un autre et malgrés une suppression des problemes trouvés,beaucoup sont revenus.
voici donc mes rapports otl et extras :
OTL http://www.cijoint.fr/cjlink.php?file=cj201006/cijPjmGXux.txt
extras http://www.cijoint.fr/cjlink.php?file=cj201006/cijxN14cpk.txt
Voili voilou j'attend vos commentaires !!
Merci et bonne soirée
Ps si je vous envoie ce message en mp c'est que je ne peux plus poster sur le forum,lorsque je valide mon msg ça me marque "vous avez deja posté ce message" alors qu'il n'apparait ni dans le sujet ni dans le nombre de reponse :S
Sauvegarde bien tes documents importants car on est pas à l'abbri d'un plantage!
* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista
Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:
begin copying here:
Drivers to delete:
cymors
mmxxg
Files to delete:
C:\Windows\13580807.dat
C:\Windows\13580807.exe
C:\Windows\2626651.dat
C:\Windows\System32\degjxbua.dll
C:\Windows\System32\drivers\cymors.sys
C:\Windows\System32\drivers\mmmxxg.sys
C:\Windows\System32\hoocd.exe
C:\Windows\System32\kmieeixyupifadik.exe
C:\Windows\System32\nnkjji.dll
C:\Windows\System32\nnwomtro.exe
C:\Windows\System32\qoocd.dll
C:\Windows\System32\scvczyyd.dll
C:\Windows\System32\uoocd.dll
C:\Windows\huffyuv.ini
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | jkhigesys
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | ljgeedsys
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
Relance OTL et poste le rapport ici.
* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista
Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:
begin copying here:
Drivers to delete:
cymors
mmxxg
Files to delete:
C:\Windows\13580807.dat
C:\Windows\13580807.exe
C:\Windows\2626651.dat
C:\Windows\System32\degjxbua.dll
C:\Windows\System32\drivers\cymors.sys
C:\Windows\System32\drivers\mmmxxg.sys
C:\Windows\System32\hoocd.exe
C:\Windows\System32\kmieeixyupifadik.exe
C:\Windows\System32\nnkjji.dll
C:\Windows\System32\nnwomtro.exe
C:\Windows\System32\qoocd.dll
C:\Windows\System32\scvczyyd.dll
C:\Windows\System32\uoocd.dll
C:\Windows\huffyuv.ini
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | jkhigesys
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | ljgeedsys
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
Relance OTL et poste le rapport ici.
Bongour tout le monde
j'ai donc sauvegardé tout ce que je pouvais j'ai aussi fais au passage un gros gros nettoyage il me reste plus beaucoup de logiciels installés.
J'ai lancé avenger et je crois que tout va mieux,"nnkjji" a été supprimé et je retrouve aussi quelques fonctionnalités telles que lancer malwarebytes sous son vrai nom.
voici donc le rapport avenger : http://www.cijoint.fr/cjlink.php?file=cj201006/cijYueQ60A.txt
et OTL (je n'ai pa eu de extras) : http://www.cijoint.fr/cjlink.php?file=cj201006/cij3QxZxoJ.txt
Voila tout,j'ai un message au démarrage "error run nnkjji.DLL" ce qui ,je crois,montre qu'il a bien été supprimé et a mon avis un petit de ccleaner devrait résoudre le probleme.
Malekal ==> merci pour ton aide et ta patience
Bonne journée a tous
j'ai donc sauvegardé tout ce que je pouvais j'ai aussi fais au passage un gros gros nettoyage il me reste plus beaucoup de logiciels installés.
J'ai lancé avenger et je crois que tout va mieux,"nnkjji" a été supprimé et je retrouve aussi quelques fonctionnalités telles que lancer malwarebytes sous son vrai nom.
voici donc le rapport avenger : http://www.cijoint.fr/cjlink.php?file=cj201006/cijYueQ60A.txt
et OTL (je n'ai pa eu de extras) : http://www.cijoint.fr/cjlink.php?file=cj201006/cij3QxZxoJ.txt
Voila tout,j'ai un message au démarrage "error run nnkjji.DLL" ce qui ,je crois,montre qu'il a bien été supprimé et a mon avis un petit de ccleaner devrait résoudre le probleme.
Malekal ==> merci pour ton aide et ta patience
Bonne journée a tous
ouais mais nan ça va pas - il reste des malwares :)
Bizarre que The Avenger se soit foiré :\
* Télécharge OTLPEnet : http://oldtimer.geekstogo.com/OTLPENet.exe sur ton Bureau (Taille 120,9 Mo)
* Quand le téléchargement sera fini, Double Clic sur OTLPENet.exe et assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD. Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
* Patiente le temps de la décompression et de la gravure du CD.
* Redémarre ton PC en utilisant le CD Boot venant d'etre créé.
* Ton système doit montrer un bureau REATOGO-X-PE
* En fonction de votre type de connexion Internet, tu dois être en mesure d'accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.
* Double-clic sur l'îcone OTLPE
* Dans la Première messagebox RunScanner clique sur Yes.
* Dans la seconde, Assures toi que la case "Automatically Load All Remaining Users" soit coché et clique sur ok.
* OTL doit se lancer maintenant
o sous Custom Scan box copie_colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:files
C:\Windows\System32\drivers\mmmxxg.sys
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows\CurrentVersion\Run]
"ljgeedsys"=-
* redemarre le pc sous windows et poste le rapport ici
Relance OTL comme le coup d'avant et poste le rapport ici.
Them crooked vultures this evening :D
Bizarre que The Avenger se soit foiré :\
* Télécharge OTLPEnet : http://oldtimer.geekstogo.com/OTLPENet.exe sur ton Bureau (Taille 120,9 Mo)
* Quand le téléchargement sera fini, Double Clic sur OTLPENet.exe et assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD. Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
* Patiente le temps de la décompression et de la gravure du CD.
* Redémarre ton PC en utilisant le CD Boot venant d'etre créé.
* Ton système doit montrer un bureau REATOGO-X-PE
* En fonction de votre type de connexion Internet, tu dois être en mesure d'accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.
* Double-clic sur l'îcone OTLPE
* Dans la Première messagebox RunScanner clique sur Yes.
* Dans la seconde, Assures toi que la case "Automatically Load All Remaining Users" soit coché et clique sur ok.
* OTL doit se lancer maintenant
o sous Custom Scan box copie_colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:files
C:\Windows\System32\drivers\mmmxxg.sys
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows\CurrentVersion\Run]
"ljgeedsys"=-
* redemarre le pc sous windows et poste le rapport ici
Relance OTL comme le coup d'avant et poste le rapport ici.
Them crooked vultures this evening :D
Heu petite question bete,pour utiliser le cd boot il faut faire quoi ? tout c'est extrait et gravé normalement mais lorsque que je redémarre il demarre normalement,j'ai juste remarquer qu'avant la page "bienvenue" l'ecran reste noir pendant bien 3 minutes.
edit : en fait c'est bon j'ai trouvé peu de temps apres ce msg,par contre je rencontre deux nouveaux problemes,avec reatogo je n'ai plus de connection internet et pas moyen de configurer (je suis en wifi) et lorsque je clique sur otlpe,je clique sur ok de la premiere fenetre et la j'ai un message d'erreur "no windows installation founds"
Que dois-je faire car je suis completement perdu la :S
edit : en fait c'est bon j'ai trouvé peu de temps apres ce msg,par contre je rencontre deux nouveaux problemes,avec reatogo je n'ai plus de connection internet et pas moyen de configurer (je suis en wifi) et lorsque je clique sur otlpe,je clique sur ok de la premiere fenetre et la j'ai un message d'erreur "no windows installation founds"
Que dois-je faire car je suis completement perdu la :S
Salut tout le monde
Je rencontre en ce moment quelques soucis pour poster sur le forum,ça fait bien deux jours que je ne peux plus rien
envoyer ni message ni mp,
Oui effectivement il fallait selectionner windows dans C:/ je croyais qu'en selectionnant my computer il se
débrouillerais tout seul.
Voici donc le rapport OTLPENet : http://www.cijoint.fr/cjlink.php?file=cj201006/cijWXT9wN8.txt
Et OTL : http://www.cijoint.fr/cjlink.php?file=cj201006/cijbKPQkiV.txt
Cette fois ci c'est le fichier "mmmxxg.sys" qui contient le trojan TR/rootkit.gen qui m'embête (il y en a
probablement d'autres que je n'ai pas vu).J'ai fait une recherche sur internet mais sur tous les forum les
personnes ayant ce trojan bénéficient d'une aide personnalisée donc inutile pour moi.
Sinon je viens de me rendre compte d'un autre probleme,lorsque je déroule C:/ dans l'explorateur j'ai un fichier
combofix,je le déroule et je retrouve C:/,E:/ et D:/ je peut donc tout dérouler a l'infini ...
Merci pour votre aide
Bonne journée
Jérémy
Je rencontre en ce moment quelques soucis pour poster sur le forum,ça fait bien deux jours que je ne peux plus rien
envoyer ni message ni mp,
Oui effectivement il fallait selectionner windows dans C:/ je croyais qu'en selectionnant my computer il se
débrouillerais tout seul.
Voici donc le rapport OTLPENet : http://www.cijoint.fr/cjlink.php?file=cj201006/cijWXT9wN8.txt
Et OTL : http://www.cijoint.fr/cjlink.php?file=cj201006/cijbKPQkiV.txt
Cette fois ci c'est le fichier "mmmxxg.sys" qui contient le trojan TR/rootkit.gen qui m'embête (il y en a
probablement d'autres que je n'ai pas vu).J'ai fait une recherche sur internet mais sur tous les forum les
personnes ayant ce trojan bénéficient d'une aide personnalisée donc inutile pour moi.
Sinon je viens de me rendre compte d'un autre probleme,lorsque je déroule C:/ dans l'explorateur j'ai un fichier
combofix,je le déroule et je retrouve C:/,E:/ et D:/ je peut donc tout dérouler a l'infini ...
Merci pour votre aide
Bonne journée
Jérémy
J'ai pas l'impression que tu as fait la partie "RUNFIX" dans OTLPE avec le script que je t'ai donné là : https://forums.commentcamarche.net/forum/affich-18088065-cheval-de-troie-qui-m-echappe#18
donc mmmxxg.sys n'a pas été supprimé.
A faire ou supprime manuellement C:\Windows\System32\drivers\mmmxxg.sys depuis OTLPE.
donc mmmxxg.sys n'a pas été supprimé.
A faire ou supprime manuellement C:\Windows\System32\drivers\mmmxxg.sys depuis OTLPE.
