Virus ou trojan?

makalele Messages postés 72 Statut Membre -  
 bernie61 -
Salut a tous
j'ai plein de trojan en se moment je suis sous winxp j'ai installer
spyboot il m'a detecter plusieur probleme qu'il a pu resoudre
sauf 1 cle de registre qui se nomme (HKEY_LOCAL_MACHINE\SOFTWARE\ISTbar)
il n'arrive pas a l'effacer et moi non plus
que me conseillez.
merci pour vos reponse.

--
neige à 16 heures 20 cm à l'heure!!!

3 réponses

  1. bernie61
     
    salut
    regardes là
    http://www.doxdesk.com/parasite/ISTbar.html

    Spybot 1.4 et AdAware de Lavasoft peuvent l'éradiquer
    a+
    0
    1. makalele Messages postés 72 Statut Membre 5
       
      Salut bernie
      ni Spybot 1.4 ni AdAware 1.06 ne peuvent me resoudre le probleme
      ils le detecte bien mais ils n'arrive pas a me l'effacer.
      j'ai ete là http://www.doxdesk.com/parasite/ISTbar.html mais c'est en anglais et je ne comprend pas tout.
      j'ai fait 1 scan avec HijackThis v1.99.1
      et le resultat est:

      Logfile of HijackThis v1.99.1
      Scan saved at 16:45:58, on 01/10/2005
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      C:\Program Files\Atguard\iamserv.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      C:\PROGRA~1\Atguard\iamapp.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\WINDOWS\System32\MrNo4236.exe
      C:\Dawnloads\hijackthis_199\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.clicktomakeasearch.com/sp2.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.clicktomakeasearch.com/sp2.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.clicktomakeasearch.com/sp2.php
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
      O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      O4 - HKLM\..\Run: [Syga432te Pe432rsonal Firewall] MrNo4236.exe
      O4 - HKLM\..\Run: [Microsof Avps32 Control] av32.pif
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
      O4 - HKLM\..\RunServices: [Syga432te Pe432rsonal Firewall] MrNo4236.exe
      O4 - HKLM\..\RunServices: [Microsof Avps32 Control] av32.pif
      O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [Syga432te Pe432rsonal Firewall] MrNo4236.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
      O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
      O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
      O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127419666133
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Program Files\Atguard\iamserv.exe
      O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe (file missing)
      O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrs.exe (file missing)

      peut tu me dire si tu comprend quelque chose.
      merci pour la suite.
      0
  2. bernie61
     
    resalut
    C’est quoi ton firewall ??? à installer urgent
    Et faire mise àjour de windows
    0. Installe ce nettoyeur CCLEANER http://www.ccleaner.com/ ensuite
    *Pour scan complet il faut pouvoir scanner tous les dossiers donc faire :
    Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes
    - afficher les fichiers et dossier cachés
    - afficher contenu dossier système
    décocher
    - masquer fichiers protégés du dossier système
    Puis cliquer APPLIQUER à TOUS les Dossiers

    1. Tu connais ça ? non, alors vérifie (cliq droit souris/propriété) sinon ZIP (compresse) et efface le .EXE
    C:\Program Files\Atguard\iamserv.exe > à controller par antivirus
    2. Relances Hijackthis et coche (puis FIX)
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.clicktomakeasearch.com/sp2.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.clicktomakeasearch.com/sp2.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.clicktomakeasearch.com/sp2.php
    O4 - HKLM\..\Run: [Syga432te Pe432rsonal Firewall] MrNo4236.exe
    O4 - HKLM\..\Run: [Microsof Avps32 Control] av32.pif
    O4 - HKLM\..\RunServices: [Syga432te Pe432rsonal Firewall] MrNo4236.exe
    O4 - HKLM\..\RunServices: [Microsof Avps32 Control] av32.pif
    O4 - HKCU\..\Run: [Syga432te Pe432rsonal Firewall] MrNo4236.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
    O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
    O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
    O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrs.exe (file missing)
    O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe (file missing)
    O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe >> si virusé ou inconnu

    3. Effacer ces programmes .EXE ( et à la fin vider la corbeille)
    C:\WINDOWS\System32\MrNo4236.exe
    C: windows/system32/ av32.pif
    C:\WINDOWS\csrs.exe
    C:\WINDOWS\microsoft.exe
    C:\PROGRA~1\Atguard\iamapp.exe > si virusé ou inconnu
    4. vider les répertoires temps et la corbeille, en lançant Ccleaner
    Refais un hijackthis de contrôle

    a+
    0
    1. makalele Messages postés 72 Statut Membre 5
       
      salut bernie 61!
      mon firewall est atguard.
      toutes les mises à jour de windows sont faites.
      Nous avons suivis tes instructions et sur la ligne 09 nous avons:
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

      au lieu de :

      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

      C:\WINDOWS\csrs.exe à la place on a csrss.exe

      on a refait un controle et le resultat est :

      Logfile of HijackThis v1.99.1
      Scan saved at 20:22:43, on 01/10/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      C:\PROGRA~1\Atguard\iamapp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      C:\Program Files\Atguard\iamserv.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Dawnloads\hijackthis_199\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
      O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
      O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
      O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127419666133
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Program Files\Atguard\iamserv.exe
      O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrs.exe (file missing)


      par contre je n'arrive pas à activer le firewall de xp est ce normal ?
      Dans les processus j'ai lsass.exe et csrss.exe est ce normal ?
      merci pour ton aide
      0
  3. bernie61
     
    resalut

    par contre je n'arrive pas à activer le firewall de xp est ce normal ? >> un seul firewall, celui de XP est inactif OK

    Dans les processus j'ai lsass.exe et csrss.exe est ce normal ? >> ces 2 là OK

    j'avais noté que Atguard était l'ancien nom du firewall de Norton, il est temps: comment sont faites les mise à jour du logiciel Atguard?? si pas à désinstaller et placer Outpost ou Zone Alarm gratuit
    a+
    0