Oups la boulette...

JeanPhi40 Messages postés 19 Statut Membre -  
 jeanphi40 -
Re bonjour, désolé je suis un peu tâche en forum...
Voilà, j'ai attrappé un
13/12/2005,14:44:05 WARNING: Is the Trojan horse TR/Dldr.Delf.ZU!
C:\WINNT\Q521449578_DISK.DLL

Anitvir, search & destroy et ad aware semblent impuissants...

qui se manifeste par une disparition de ma barre outil dans I.E, le plantage de CWschredder et l'appairition d'icônes "tartes" sur mon bureau.

Voilà mon rapport Hijack

Logfile of HijackThis v1.99.1
Scan saved at 15:34:45, on 13/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
d:\Program Files\AVPersonal\AVGUARD.EXE
d:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
D:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
D:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\mobsync.exe
D:\Program Files\Antipub\antipub.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\PROGRA~1\DAP\DAP.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\recups-temporaires\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.club-internet.fr/IEBrand/IE_searchpanel.phtml
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Club Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [AVGCtrl] D:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Program Files\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Anti-Pub.lnk = D:\Program Files\Antipub\antipub.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C973CEF8-0B90-479B-ABCB-42CF1C4609D4}: NameServer = 85.255.113.116,85.255.112.80
O20 - Winlogon Notify: st3 - C:\WINNT\q521449578_disk.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - D:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Merci

PS : si c'est en forgeant que l'on devient forgeron est-ce en sciant que Léonard de Vinci ?

6 réponses

  1. boulepate
     
    Re, lol pas grave ;)
    Relance HijackThis, coche la case devant les lignes que je t'ai dit une fois que c'est fait clique en bas sur "fix checked"

    O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
    O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
    O4 - HKLM\..\Run: [stnospy] C:\Program Files\SinEspias\no-spy.exe /autorun
    O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O20 - Winlogon Notify: st3 - C:\WINNT\q521449578_disk.dll

    Va dans le panneau de configuration desintalle SinEspias si tu le vois.
    Ensuite clique sur demarrer, poste de travail, C:, program files, cherche et supprime ce dossier:
    SinEspias

    Tu as quoi comme logiciels anti-spyware à part spybot?
    0
  2. ben13010 Messages postés 3369 Statut Contributeur 387
     
    salut

    si j'etais toi , je desinstallerai download accelaretor plus et je le remplacerai par free download manager qui ne contient pas de spywares lui

    Voilà, j'ai attrappé un
    13/12/2005,14:44:05 WARNING: Is the Trojan horse TR/Dldr.Delf.ZU!
    C:\WINNT\Q521449578_DISK.DLL

    Anitvir, search & destroy et ad aware semblent impuissants...


    quand tu dis qu'ils semblent impuissants , tu veut dire quoi exacatement ? qu'ils reperent le trojan mais peuvent pas l'effacer ?

    si c'est le cas , il faut que tu descative la restauration systeme de windows ensuite tu te connecte en mode sans echec et tu fais touner tes logiciles ( soybot , ad aware etc .. )

    tu vire tous ce qu'ils trouvent , meme les sauvegardes et les fichiers mis en quarantaines

    ensuite tu te connecte en mode normal , tu reactive la restauration syseme

    ils devraient avoir disparu

    tiens nous au courant
    0
  3. JeanPhi40 Messages postés 19 Statut Membre
     
    ok d'acord ça y est :
    les cases ont été coché et les probs fixés
    j'ai viré ce sinespias du C: (il n'apparaissait pas dans le panneau de config => desinstaller)
    j'ai croisé les doigts et aspergé mon clavier d'eau bénité...

    J'attends encore un peu pour le pieu...

    Merci de cette aide précieuse, rapide efficace et désintéressée..

    En anti spyware j'ai aussi spyware blaster...
    0
    1. boulepate
       
      Remet un rapport HijackThis s'il te plait.

      Quels sont tes logiciels anti-spyware ??!

      Si ton clavier fonctionne encore après lui avoir balancé de l'eau bénite lol repond nous ^^
      0
    2. JeanPhi40 > boulepate
       
      En fait ça n'a pas l'air de marcher...

      Toujours les alertes de AntiVir
      Toujours les icones
      Toujours I.E au ralenti et sacrément diminiué...
      Mon eau bénite c'est de la daube...

      Comment fait-on pour désactiver la restauration du système de Win ?

      Merci de votre patience

      Logfile of HijackThis v1.99.1
      Scan saved at 16:44:38, on 13/12/2005
      Platform: Windows 2000 SP4 (WinNT 5.00.2195)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINNT\System32\smss.exe
      C:\WINNT\system32\csrss.exe
      C:\WINNT\system32\winlogon.exe
      C:\WINNT\system32\services.exe
      C:\WINNT\system32\lsass.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\system32\spoolsv.exe
      d:\Program Files\AVPersonal\AVGUARD.EXE
      d:\Program Files\AVPersonal\AVWUPSRV.EXE
      C:\WINNT\system32\drivers\CDAC11BA.EXE
      C:\WINNT\System32\svchost.exe
      D:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
      C:\WINNT\system32\nvsvc32.exe
      C:\WINNT\system32\regsvc.exe
      C:\WINNT\system32\MSTask.exe
      C:\WINNT\system32\stisvc.exe
      C:\WINNT\System32\WBEM\WinMgmt.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\Explorer.EXE
      D:\Program Files\AVPersonal\AVGNT.EXE
      D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      D:\Program Files\Antipub\antipub.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      E:\recups-temporaires\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.club-internet.fr/IEBrand/IE_searchpanel.phtml
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/hautdebit
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Club Internet
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
      O4 - HKLM\..\Run: [AVGCtrl] D:\Program Files\AVPersonal\AVGNT.EXE /min
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [LiveNote] livenote.exe
      O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
      O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - Startup: Anti-Pub.lnk = D:\Program Files\Antipub\antipub.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
      O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
      O17 - HKLM\System\CCS\Services\Tcpip\..\{C973CEF8-0B90-479B-ABCB-42CF1C4609D4}: NameServer = 85.255.113.116,85.255.112.80
      O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Program Files\AVPersonal\AVGUARD.EXE
      O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Program Files\AVPersonal\AVWUPSRV.EXE
      O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
      O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
      O23 - Service: GhostStartService - Symantec Corporation - D:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
      O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
      0
    3. boulepate > JeanPhi40
       
      Troisiéme fois :D

      Quels sont tes logiciels anti-spyware à part spybot ?

      Puis installe un pare-feu, en voici un gratuit et en français:
      ZoneAlarm:
      Zone Alarm
      0
    4. jeanphi40 > boulepate
       
      excuse moi je suis vraiment à la ramasse...

      En anti spyware j'ai Adaware et Spywareblaster

      En ce qui concerne zone alarm je me suis laissé dire qu'il était relativement incompatible avec emule... mais bon faut faire des sacrifices parfois.
      je te reposte mondernier Hijack
      et si tu pouvais m'indiquer comment désactiver la restauration de Win2000 je t'en serai infiniment reconnaissant...

      Merci et encore désolé d'être aussi empoté...

      Logfile of HijackThis v1.99.1
      Scan saved at 16:44:38, on 13/12/2005
      Platform: Windows 2000 SP4 (WinNT 5.00.2195)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINNT\System32\smss.exe
      C:\WINNT\system32\csrss.exe
      C:\WINNT\system32\winlogon.exe
      C:\WINNT\system32\services.exe
      C:\WINNT\system32\lsass.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\system32\spoolsv.exe
      d:\Program Files\AVPersonal\AVGUARD.EXE
      d:\Program Files\AVPersonal\AVWUPSRV.EXE
      C:\WINNT\system32\drivers\CDAC11BA.EXE
      C:\WINNT\System32\svchost.exe
      D:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
      C:\WINNT\system32\nvsvc32.exe
      C:\WINNT\system32\regsvc.exe
      C:\WINNT\system32\MSTask.exe
      C:\WINNT\system32\stisvc.exe
      C:\WINNT\System32\WBEM\WinMgmt.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\Explorer.EXE
      D:\Program Files\AVPersonal\AVGNT.EXE
      D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      D:\Program Files\Antipub\antipub.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      E:\recups-temporaires\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.club-internet.fr/IEBrand/IE_searchpanel.phtml
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/hautdebit
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Club Internet
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
      O4 - HKLM\..\Run: [AVGCtrl] D:\Program Files\AVPersonal\AVGNT.EXE /min
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [LiveNote] livenote.exe
      O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
      O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - Startup: Anti-Pub.lnk = D:\Program Files\Antipub\antipub.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
      O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
      O17 - HKLM\System\CCS\Services\Tcpip\..\{C973CEF8-0B90-479B-ABCB-42CF1C4609D4}: NameServer = 85.255.113.116,85.255.112.80
      O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Program Files\AVPersonal\AVGUARD.EXE
      O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Program Files\AVPersonal\AVWUPSRV.EXE
      O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
      O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
      O23 - Service: GhostStartService - Symantec Corporation - D:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
      O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
      0
    5. boulepate > jeanphi40
       
      Alors, telecharge ces anti-spyware là aussi et scan ton pc avec chacuns d'eux:

      SpyBot - Search & Destroy :
      Spybot Search & Destroy

      A² free:
      a² free

      Pour ton probléme avec ton logiciel de telechargement, il suffit juste de regler ZoneAlarm, il faut mettre des encoches verte devant le programme en question.
      Donc réinstalle ZoneAlarm, il te protege du net des virus etd es personnes qui voudrait s'en prendrre à ton pc, si tu vois que ça marche pas avec emule tu fais un clique droit dans la barre des taches ou il est et tu fais desactiver.

      Pour la restauration du systeme il en existe pas sous windows 2000
      0
  4. JeanPhi40
     
    Heuuu

    on fait comment pour désactiver la restauration système ?

    "Impuissants" pasque je vois bien qu'il y a un problème (les icones sur le bureau, la barre outil de IE et les alertes de Antivir) mais bon tout va bien pour eux, ils trouvent rin...

    OK pour dload plus je vais le virer et recuperer free des que j'aurai un accès internet ad hoc

    Je redémarre la machine et je reviens

    Merci encore ...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ben13010 Messages postés 3369 Statut Contributeur 387
     
    re

    tu as windows 2000 donc tu as pas de restauration systeme !

    fais les mise a jour des log conseillé par boulepate ( a2 , spybot , ad awre )

    ensuite tu te connecte en mode sans echec
    tu les fais touner tous
    tu vite tous ce qu'ils trouvent meme les sauvegardes

    ensuite tu te reconencte en mode normal

    dis nous si tes tojans sont encore la
    0
  7. jeanphi40
     
    ok d'accord, je fais ça et je vous tiens au courant de l'évolution de la situation... Mille merci les gars....
    0