[INFECTION]Icones/images sur le bureau...
Seb
-
Utilisateur anonyme -
Utilisateur anonyme -
Salut,
voilà les symptomes :
- j'ai la barre d'incones/images (gambling, dating, ...) sur le coté impossible à enlever
- antivir me detecte TR/DNSChanger.aw et TR/Dldr.Agent.uj.1 dans le volume restore (comme action j'ai fait delete), et TR/Dialer.iz.1 dans windows/system32/dgprpsetup (j'ai fait deny access)
- spybot ne va pas au bout du scann, il me bouffe 100% de l'uc et je l'arrete au bout de qques heures
- CWSHREDDER me detecte cws.msconfd, si j'essaie de le fixer mon pc redemarre sauvagement
- l'av en ligne de secuser ne me detecte rien
- adaware me detecte qques trucs que j'ai viré
voici ma log hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 10:27:33, on 17/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\www\Apache2\bin\Apache.exe
D:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\www\mysql4.1\bin\mysqld-nt.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\WINDOWS\system32\wdfmgr.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
D:\WINDOWS\system32\ctfmon.exe
C:\www\Apache2\bin\Apache.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Program Files\IncrediMail\bin\IncMail.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRAMMES\Securite\HijackThis.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "D:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\www\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: ScanPanel.lnk = D:\Program Files\Medion\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Convertir en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: D:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F6E83FD-DAE8-4338-8261-38FF7AA6DD25}: NameServer = 85.255.114.34,85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A22C724-29D3-4B45-93BC-D7A5595BEAA9}: NameServer = 85.255.114.34 85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD510269-C3BB-40E5-8561-7DA392A69D2B}: NameServer = 85.255.114.34,85.255.112.94
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F6E83FD-DAE8-4338-8261-38FF7AA6DD25}: NameServer = 85.255.114.34,85.255.112.94
O17 - HKLM\System\CS2\Services\Tcpip\..\{0F6E83FD-DAE8-4338-8261-38FF7AA6DD25}: NameServer = 85.255.114.34,85.255.112.94
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ADSLAutoconnect - Unknown owner - D:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\www\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: MySQL - Unknown owner - C:\www\mysql4.1\bin\mysqld-nt".exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
Si qqun peut faire qque chose pour moi ...
Merci d'avance,
Seb
voilà les symptomes :
- j'ai la barre d'incones/images (gambling, dating, ...) sur le coté impossible à enlever
- antivir me detecte TR/DNSChanger.aw et TR/Dldr.Agent.uj.1 dans le volume restore (comme action j'ai fait delete), et TR/Dialer.iz.1 dans windows/system32/dgprpsetup (j'ai fait deny access)
- spybot ne va pas au bout du scann, il me bouffe 100% de l'uc et je l'arrete au bout de qques heures
- CWSHREDDER me detecte cws.msconfd, si j'essaie de le fixer mon pc redemarre sauvagement
- l'av en ligne de secuser ne me detecte rien
- adaware me detecte qques trucs que j'ai viré
voici ma log hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 10:27:33, on 17/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
C:\www\Apache2\bin\Apache.exe
D:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\www\mysql4.1\bin\mysqld-nt.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\WINDOWS\system32\wdfmgr.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
D:\WINDOWS\system32\ctfmon.exe
C:\www\Apache2\bin\Apache.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Program Files\IncrediMail\bin\IncMail.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRAMMES\Securite\HijackThis.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "D:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\www\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: ScanPanel.lnk = D:\Program Files\Medion\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Convertir en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: D:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F6E83FD-DAE8-4338-8261-38FF7AA6DD25}: NameServer = 85.255.114.34,85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A22C724-29D3-4B45-93BC-D7A5595BEAA9}: NameServer = 85.255.114.34 85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD510269-C3BB-40E5-8561-7DA392A69D2B}: NameServer = 85.255.114.34,85.255.112.94
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F6E83FD-DAE8-4338-8261-38FF7AA6DD25}: NameServer = 85.255.114.34,85.255.112.94
O17 - HKLM\System\CS2\Services\Tcpip\..\{0F6E83FD-DAE8-4338-8261-38FF7AA6DD25}: NameServer = 85.255.114.34,85.255.112.94
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ADSLAutoconnect - Unknown owner - D:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\www\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: MySQL - Unknown owner - C:\www\mysql4.1\bin\mysqld-nt".exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
Si qqun peut faire qque chose pour moi ...
Merci d'avance,
Seb
A voir également:
- [INFECTION]Icones/images sur le bureau...
- Comment mettre une icone sur le bureau - Guide
- Icone blanche sur le bureau - Guide
- Télécharger icônes de bureau windows 11 - Guide
- Bureau virtuel windows 10 - Guide
- Des images - Guide
11 réponses
Salut
Telecharge ceci
http://cjoint.com/?mrlUOG2MIa
Execute le, ouvre Hcsrch
Puis le bloc note s ouvre, copie/colle le rapport
a+
Telecharge ceci
http://cjoint.com/?mrlUOG2MIa
Execute le, ouvre Hcsrch
Puis le bloc note s ouvre, copie/colle le rapport
a+
Salut,
impossible de telecharger le fichier, j'ai l'erreur 'impossible de lire à partir du fichier ou de la disquette source'...
j'ai démaré en mode sans echec et fait passé spybot et ad-aware, puis kapersky ça ma permi de virer qques saletés mais pas ces sales icones sur le bureau
impossible de telecharger le fichier, j'ai l'erreur 'impossible de lire à partir du fichier ou de la disquette source'...
j'ai démaré en mode sans echec et fait passé spybot et ad-aware, puis kapersky ça ma permi de virer qques saletés mais pas ces sales icones sur le bureau
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voilà le log :
Rapport fait à 20:21:08,46 le 18/12/2005
Executé à partir de C:\PROGRAMMES\Securite\Hcsrch
OS: Microsoft Windows XP [version 5.1.2600]
*********************************************
Vérification HKLM\...\...\...\...\ruins
*********************************************
Fichiers détectés :
D:\WINDOWS\rdt.ini Présent !
D:\WINDOWS\Help\SPAlert.chm Présent !
D:\WINDOWS\System32\close.bmp Présent !
D:\WINDOWS\System32\dating.bmp Présent !
D:\WINDOWS\System32\gambling.bmp Présent !
D:\WINDOWS\System32\idesk.conf Présent !
D:\WINDOWS\System32\insurance.bmp Présent !
D:\WINDOWS\System32\pharmacy.bmp Présent !
D:\WINDOWS\System32\spyware.bmp Présent !
D:\WINDOWS\System32\xxx.bmp Présent !
*********************************************
Recherche des processus aleatoires
d'après les modèles : cs***.exe, dm***.exe, ya***.exe
D:\WINDOWS\System32
dmcpl.exe
*********************************************
Recherche presence D:\WINDOWS\System32\idemlog.exe...
non trouvé...
Rapport fait à 20:21:08,46 le 18/12/2005
Executé à partir de C:\PROGRAMMES\Securite\Hcsrch
OS: Microsoft Windows XP [version 5.1.2600]
*********************************************
Vérification HKLM\...\...\...\...\ruins
*********************************************
Fichiers détectés :
D:\WINDOWS\rdt.ini Présent !
D:\WINDOWS\Help\SPAlert.chm Présent !
D:\WINDOWS\System32\close.bmp Présent !
D:\WINDOWS\System32\dating.bmp Présent !
D:\WINDOWS\System32\gambling.bmp Présent !
D:\WINDOWS\System32\idesk.conf Présent !
D:\WINDOWS\System32\insurance.bmp Présent !
D:\WINDOWS\System32\pharmacy.bmp Présent !
D:\WINDOWS\System32\spyware.bmp Présent !
D:\WINDOWS\System32\xxx.bmp Présent !
*********************************************
Recherche des processus aleatoires
d'après les modèles : cs***.exe, dm***.exe, ya***.exe
D:\WINDOWS\System32
dmcpl.exe
*********************************************
Recherche presence D:\WINDOWS\System32\idemlog.exe...
non trouvé...
salut
Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm
******************************************************
Déconnecte toi d'internet c'est important
puis vérifie ceci:
demarrer > connection > clic droit sur ta connection > propriétés
gestion de reseau
assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"
valide avec ok
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F6E83FD-DAE8-4338-8261-38FF7AA6DD25}: NameServer = 85.255.114.34,85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A22C724-29D3-4B45-93BC-D7A5595BEAA9}: NameServer = 85.255.114.34 85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD510269-C3BB-40E5-8561-7DA392A69D2B}: NameServer = 85.255.114.34,85.255.112.94
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F6E83FD-DAE8-4338-8261-38FF7AA6DD25}: NameServer = 85.255.114.34,85.255.112.94
O17 - HKLM\System\CS2\Services\Tcpip\..\{0F6E83FD-DAE8-4338-8261-38FF7AA6DD25}: NameServer = 85.255.114.34,85.255.112.94
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
1- Double-clic sur KillBox.exe (Pocket Killbox)
Avec la methode du bloc note (voir video), voici la liste:
D:\WINDOWS\rdt.ini
D:\WINDOWS\Help\SPAlert.chm
D:\WINDOWS\System32\close.bmp
D:\WINDOWS\System32\dating.bmp
D:\WINDOWS\System32\gambling.bmp
D:\WINDOWS\System32\idesk.conf
D:\WINDOWS\System32\insurance.bmp
D:\WINDOWS\System32\pharmacy.bmp
D:\WINDOWS\System32\spyware.bmp
D:\WINDOWS\System32\xxx.bmp
D:\WINDOWS\System32\dmcpl.exe
Laisse le pc redemarrer ou redemarre le toi meme
Puis dis moi si c est resolu
A+
Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm
******************************************************
Déconnecte toi d'internet c'est important
puis vérifie ceci:
demarrer > connection > clic droit sur ta connection > propriétés
gestion de reseau
assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"
valide avec ok
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F6E83FD-DAE8-4338-8261-38FF7AA6DD25}: NameServer = 85.255.114.34,85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A22C724-29D3-4B45-93BC-D7A5595BEAA9}: NameServer = 85.255.114.34 85.255.112.94
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD510269-C3BB-40E5-8561-7DA392A69D2B}: NameServer = 85.255.114.34,85.255.112.94
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F6E83FD-DAE8-4338-8261-38FF7AA6DD25}: NameServer = 85.255.114.34,85.255.112.94
O17 - HKLM\System\CS2\Services\Tcpip\..\{0F6E83FD-DAE8-4338-8261-38FF7AA6DD25}: NameServer = 85.255.114.34,85.255.112.94
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
1- Double-clic sur KillBox.exe (Pocket Killbox)
Avec la methode du bloc note (voir video), voici la liste:
D:\WINDOWS\rdt.ini
D:\WINDOWS\Help\SPAlert.chm
D:\WINDOWS\System32\close.bmp
D:\WINDOWS\System32\dating.bmp
D:\WINDOWS\System32\gambling.bmp
D:\WINDOWS\System32\idesk.conf
D:\WINDOWS\System32\insurance.bmp
D:\WINDOWS\System32\pharmacy.bmp
D:\WINDOWS\System32\spyware.bmp
D:\WINDOWS\System32\xxx.bmp
D:\WINDOWS\System32\dmcpl.exe
Laisse le pc redemarrer ou redemarre le toi meme
Puis dis moi si c est resolu
A+
C'est bon ça a marché : au premier redémarage plus d'incones mais kapersky m'a detecté la backdoor idemlog.exe dans c:\windows\system32, j'ai detruit le fichier, et au second redémarage RAS.
En regardant sur le forum j'ai vu qu'on est nombreux à etre infecté avec ce truc
En tout cas merci bcp et @+
En regardant sur le forum j'ai vu qu'on est nombreux à etre infecté avec ce truc
En tout cas merci bcp et @+
