Sujet Précédent Sujet Suivant

[virus] fichiers dans system32 verouillés ...

witchoun Messages postés 19 Statut Membre -  
 Utilisateur anonyme -
Salut a vous tous ,
je suis nouvelle et viens principalement pour un gros probleme que je n'arrive pas a resoudre mon ordinateur est infectés par quelques virus et je n'arrive pas a les enlever ...
pour cause : fichiers verouillés tel que windows\system32\jkklk.dll
ou en encore : system32\hmui.dll
et plein d'autre je vous montre ici le resultat de mon scan avec HijackThis v1.99.1 ainsi que le resultat de mon scan avec kaspersky

pour celui avec hijackThis il est la :

Logfile of HijackThis v1.99.1
Scan saved at 17:18:55, on 16/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\user\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: ATLDistrib Object - {83A5F7B7-DC75-44CE-9195-264F41709FA9} - C:\WINDOWS\System32\jkklk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6165047-E5E9-47E2-B45A-CFA3C4848174}: NameServer = 80.118.192.111 80.118.196.41
O20 - Winlogon Notify: jkklk - C:\WINDOWS\System32\jkklk.dll
O20 - Winlogon Notify: RunServices - C:\WINDOWS\system32\jtr8079ue.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

pour celui avec kaspersky c'est ici :

(je l'ai dans l'onglet rapport une fois que kaspersky a fini l'analyse mais je peux pas copier si ql sait cmt on fait pour pouvoir afficher le rapport aidez moi et je vous mettrez l'analyse !! )
mais je pense qu'avec le premier scan on voit bien que je suis dans de sals draps lol !!

si ql a deja eu ces virus et qu'il peut m'aider ca serait sympa ...
merci a vous tous
A voir également:

35 réponses

  • 1
  • 2
Réponse 1 / 35
jpdeclermont Messages postés 1792 Statut Membre 382
 
bonsoir,

Télécharge SmitfraudFix ici :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézippe le tout dans un dossier particulier
par exemple c:\Smit
Exécute-le (double clic sur Smitfraudfix.cmd)
choisis l’option 1
il va générer un rapport
Copie/colle le sur forum

bon courage

-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
0
Réponse 2 / 35
witchoun Messages postés 19 Statut Membre
 
voila pour le rapport :
SmitFraudFix v2.15

Rapport fait à 17:51:20,98 le 16/01/2006
Executé à partir de C:\Documents and Settings\user\Bureau\smit\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\drsmartloadb1.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\user\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
0
Réponse 3 / 35
jpdeclermont Messages postés 1792 Statut Membre 382
 
re-

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport
Redémarre en mode normal,
copie/colle le rapport sauvegardé sur le forum

Relance Hijackthis, clique sur "do a system scan and save a log file"
Copie/colle le rapport sur le forum

-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
0
mikalove_2 Messages postés 13 Statut Membre
 
bonsoir hier tu m'a demandé de coller mon rapport j'espere ke tu pourra m'aider!merci

Logfile of HijackThis v1.99.1
Scan saved at 18:50:52, on 16/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\vsnct511.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\mika\LOCALS~1\Temp\Rar$EX01.732\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ackwqrrzssdfiozhuooqy.us/mI24XYHpZI3/yvNVSBeILftUoTjFJXvgbG69V/OlrpIRlIkauKBnPDOCY6ULAARG.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Program Files\RXToolBar\sfcont.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {D0989A5D-13A2-4A90-5ED0-0482315FD2DB} - C:\DOCUME~1\mika\APPLIC~1\MODETH~1\cdrommpeg.exe (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [mess less axis hide] C:\Documents and Settings\All Users.WINDOWS\Application Data\ThunkNurbMessLess\Wipe Bat.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [NI.UWFX5V] "C:\Documents and Settings\mika\Local Settings\Temporary Internet Files\Content.IE5\BZPB79WK\WinFixer2005ScannerInstallFRA[1].exe"
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SNCT511] C:\WINDOWS\vsnct511.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [DELDIR0.EXE] "C:\DOCUME~1\mika\LOCALS~1\Temp\DELDIR0.EXE" "C:\Program Files\McAfee\McAfee Shared Components\Guardian\"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Norton SystemWorks] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID {DA9935BA-22F7-44ee-BD12-BD8B87700BEA}
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by110fd.bay110.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/2/fr/SysWebTelecomInt.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://www.sexequalite.com/39220/NueBritneyVideo.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://ax.emsisoft.com/axscan.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylomgames.com/activex/zylomgamesplayer.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
0
jpdeclermont Messages postés 1792 Statut Membre 382 > mikalove_2 Messages postés 13 Statut Membre
 
bonsoir,

oui, je vais passer te voir :)
mais stp crée un nouveau message, si tu postes sur un message en cours on ne s'y retrouvera pas

-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
0
mikalove_2 Messages postés 13 Statut Membre > jpdeclermont Messages postés 1792 Statut Membre
 
ok merci c'est deja fait! et excuse moi de foutre la pagaille ds ce forum mais je savais pas comment te parler autrement!
0
Réponse 4 / 35
witchoun Messages postés 19 Statut Membre
 
voila c'est fait j'ai bien fait l'option 2 et j'ai sauvegardé le rapport qui affichait ceci :

SmitFraudFix v2.15

Rapport fait à 18:09:04,48 le 16/01/2006
Executé à partir de C:\Documents and Settings\user\Bureau\smit\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\drsmartloadb1.dat supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

et j'ai refait un test de hijackthis qui m'a donné ceci :

Logfile of HijackThis v1.99.1
Scan saved at 18:11:33, on 16/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\user\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: ATLDistrib Object - {83A5F7B7-DC75-44CE-9195-264F41709FA9} - C:\WINDOWS\System32\jkklk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6165047-E5E9-47E2-B45A-CFA3C4848174}: NameServer = 80.118.196.36 80.118.192.100
O20 - Winlogon Notify: jkklk - C:\WINDOWS\System32\jkklk.dll
O20 - Winlogon Notify: policies - C:\WINDOWS\system32\l8n4li5q18.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 35
jpdeclermont Messages postés 1792 Statut Membre 382
 
re-

on l'aura :)

Désactive la restauration système
Démarrer ->Clic droit sur poste de travail -> propriétés -> onglet restauration système -> puis COCHER "désactiver la restauration système".

Télécharge processxp ici:
http://www.sysinternals.com/files/procexpnt.zip

Télécharge Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe

déconnecte-toi du net.
Ferme toutes les applications en cours.

A faire dans l'ordre

1)
- Dézipper ProcessXP et double cliquer sur processxp.exe
- Dans la fenêtre principale de processxp, double cliquer sur winlogon.exe
- Dans la nouvelle fenêtre qui s'ouvre, cliquer sur threads.
- Ne sélectionner que les lignes qui contiennent jkklk.dll et/ou l8n4li5q18.dll puis cliquer sur kill pour chacune des lignes trouvées.
- Une fois fait, valide OK.

2)
- Dans la fenêtre principale de processxp double clic sur explorer.exe
- Dans la nouvelle fenêtre qui s'ouvre cliquer sur threads
- Ne sélectionner que les lignes qui contiennent jkklk.dll et/ou l8n4li5q18.dll puis cliquer sur kill pour chacune des lignes trouvées.
- Une fois fait, valide OK.

3)
- Lancer HijackThis
- Cliquer sur "do a system scan only"
- Cocher la case au début de ces lignes:
O2 - BHO: ATLDistrib Object - {83A5F7B7-DC75-44CE-9195-264F41709FA9} - C:\WINDOWS\System32\jkklk.dll
O20 - Winlogon Notify: jkklk - C:\WINDOWS\System32\jkklk.dll
O20 - Winlogon Notify: policies - C:\WINDOWS\system32\l8n4li5q18.dll
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

- Valider avec "fix checked"

4)
- Double clique sur killbox.exe (Pocket Killbox)
- Cocher "delete on reboot"
- Dans "Full Path of File to Delete", copie et colle:
C:\WINDOWS\System32\jkklk.dll
C:\WINDOWS\system32\l8n4li5q18.dll

- Cliquer sur la croix rouge
- Une fenêtre apparaît pour confirmation, cliquer YES .
- Une seconde fenêtre te demande si tu veux redémarrer, clique sur YES.

Laisse le pc redémarrer.

Et après reposte un log HijackThis.

-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
0
Réponse 6 / 35
witchoun Messages postés 19 Statut Membre
 
quand je rentre dans processxp et que je clique sur winlogon.exe et que je rentre dans threads il n'y a aucune ligne avec les deux fichiers jkklk.dll et l'autre !!

il n'y a que :
0*103c559
!RegisterWaitForlnputldle+0*4a
!RegisterWaitForlnputldle+0*4a
!RegisterWaitForlnputldle+0*4a
!RegisterWaitForlnputldle+0*4a
.
.
.
(cette phrase est ecrite 36 fois...)
0
Réponse 7 / 35
jpdeclermont Messages postés 1792 Statut Membre 382
 
re-

bon on va essayer autrement ...

vérifie quand même avec processxp que ces dll n'apparaissent pas dans explorer (point 2)

puis passe au point 3) et 4)

et reposte un hijack

-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
0
Réponse 8 / 35
witchoun Messages postés 19 Statut Membre
 
voila alors j'ai verifier pour explorer.exe et la il a apparu plein de fois jkklk.dll 0*4...(je c plus quoi avec des noms differents pour chacun apres les tits points) alors je les ai selectionné un par un et j'ai mis kill et ca les effacait par contre je n'ai pas vu de fichier l8n4li5q18 dedans donc apres j'ai lacer hijack en selectionnant ce que tu m'avais dit et j'ai cliqué sur fix cheked ensuite j'ai lancé killbox quand j'ai mis le fichier C:\WINDOWS\system32\jkklk.dll il m'a demandé si je voulais redemarrer j'ai dit ok et la il y a eu un compte a rebours et une fois arrivé a 0 il m'a lancé une fenettre d'erreur qui disait :
PendingFileRenameOperationsRegistrydata has been removed by external Process et ca faisait rien alors j'ai essayé pour l'autre fichier l8n4etc... et la y avait toujours le compte a rebours mais il a cette fois ci redemarré sans message d'erreur !!
Au redemarrage apres j'ai lancé un scan de hijack qui disait :

Logfile of HijackThis v1.99.1
Scan saved at 19:01:11, on 16/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\user\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: ATLDistrib Object - {83A5F7B7-DC75-44CE-9195-264F41709FA9} - C:\WINDOWS\System32\jkklk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6165047-E5E9-47E2-B45A-CFA3C4848174}: NameServer = 80.118.192.110 80.118.196.40
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\n2l8lc3u1f.dll
O20 - Winlogon Notify: jkklk - C:\WINDOWS\System32\jkklk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

je crois qu'ils se sont toujours pas effacés arf !! va-t-on y arriver ?
0
Réponse 9 / 35
jpdeclermont Messages postés 1792 Statut Membre 382
 
re-

oui !!
j'ai demandé de l'aide à plus baleze que moi :)

-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
0
Réponse 10 / 35
Utilisateur anonyme
 
salut

En fait il y a 2infections, look to me et trojan virtualmonde

je reviens avec une manip

a+
0
Réponse 11 / 35
Utilisateur anonyme
 
Salut,Cest quasi la meme que jp, mais fais bien tout comme expliqué ;-)

Imprime, ou enregistre ceci dans le bloc note pour ne rien oublier.
On supprime d abord une infection et des qu elle est supprimée on s occupera de l autre.

1/ Il me semble que tu les a deja , donc ne les retelecharge pas

télécharge : process xp ici:
http://www.sysinternals.com/files/procexpnt.zip

Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe

:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm

2/

Déconnecte toi du net.
Ferme tous les programmes en cours (média player, internet explorer, ...etc)

Dézippe (clic droit > extraire) process xp et double clic sur processxp.exe

* Dans la fenêtre principale de processxp double clic sur winlogon.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionne seulement les lignes qui contiennent jkklk.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok

* Dans la fenêtre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionner seulement les lignes qui contiennent jkklk.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok

3/

puis lancer HijackThis:

clique sur "do a system scan only"

* Cocher la case au début de ces lignes:

O2 - BHO: ATLDistrib Object - {83A5F7B7-DC75-44CE-9195-264F41709FA9} - C:\WINDOWS\System32\jkklk.dll

O20 - Winlogon Notify: jkklk - C:\WINDOWS\System32\jkklk.dll

* Valider avec fix checked

5/

Double clic sur killbox.exe (Pocket Killbox)

- coche: delete on reboot
- Dans "Full Path of File to Delete"
copie et colle:

C:\WINDOWS\System32\jkklk.dll

- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES

Si ce message s’affiche ignore le :
http://tinypic.com/jsj7kl.jpg
Laisse le pc redémarrer.(s il redemarre pas, fais le manuellement)
Et après reposte un log HijackThis.

A+
0
Réponse 12 / 35
biggup
 
re régis ! pkoi tu n'as pas répondu a mon message ? j'ai besoin de toi
0
Réponse 13 / 35
witchoun Messages postés 19 Statut Membre
 
je fais ca dessuite
0
Réponse 14 / 35
witchoun Messages postés 19 Statut Membre
 
voila je l'ai fait et ca n'a rien changé par rapport a tout a l'heure j'ai toujours trouvé
0*103c559
!RegisterWaitForlnputldle+0*4a
!RegisterWaitForlnputldle+0*4a
!RegisterWaitForlnputldle+0*4a
!RegisterWaitForlnputldle+0*4a
.
.
dans winlogon.exe
ensuite dans explorer.exe j'ai trouvé les meme fichiers jkklk que tout a l'heure je les ai selectionné et j'ai fait kill ensuite j'ai refais un scan avec hijack et puis apres j'ai fait killbox et ca m'a remis le message d'erreur mais je l'ai ignoré et j'ai redemarré et puis j'ai relancé un scan qui m'a donné ca :

Logfile of HijackThis v1.99.1
Scan saved at 19:57:32, on 16/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\user\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: ATLDistrib Object - {83A5F7B7-DC75-44CE-9195-264F41709FA9} - C:\WINDOWS\System32\jkklk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\hr0205doe.dll
O20 - Winlogon Notify: jkklk - C:\WINDOWS\System32\jkklk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

c'est pareil que tout a l'heure !

mais je pense que tout ca ne marche pas pcq les fichiers sont verouillés non ? pcq quand je cherche a les supprimer en allant directement dans le fichier system 32 ils me disent que je ne peux pas l'effacer pcq il est utilisé par une autre application ... ou ql chose dans ce genre la !
0
Réponse 15 / 35
Utilisateur anonyme
 
Re,
tu dois en oublier, c est pour cela

Tout ce passe dans process xp
Lance le
clik sur winlogon.exe
Dans le cadre dans bas, regarde si tu as ceci jkklk.dll ?

a+
0
Réponse 16 / 35
witchoun Messages postés 19 Statut Membre
 
je te jure que je ne l'ai pas y a ecrit seulement ce que je t'ai mis mot pour mot je suis pas folle quand meme lol !!

c'est peut etre pcq quand j'ai installé le programme et que je l'ai lancé il m'a lancé un message en disant qu'il fallait que je telecharger quelque chose comme pour une mise a jour pour mon systeme mais qui avait un rapport avec le logiciel (je me souviens plus du message mais la il s'affiche plus) mais je ne l'ai pas installé en croyant que c'etait pas obligatoire mais c'est peut etre a cause de ca ....
0
Réponse 17 / 35
witchoun Messages postés 19 Statut Membre
 
et j'ai beau le desinstaller process xp et le reinstaller le message d'erreur ne s'affiche plus !
0
Réponse 18 / 35
Utilisateur anonyme
 
re,
je penses pas que ca vienne de la

Fais ceci:
Lance process XP
Clik sur [Find]
--->Find dll...
Tape jkklk.dll et [searsh]

Resultats?
0
Réponse 19 / 35
witchoun Messages postés 19 Statut Membre
 
resultat :
explorer.exe 816 C:\WINDOWS\system32\jkklk.dll
IEXPLORE.EXE 2112 C:\WINDOWS\system32\jkklk.dll
0
Réponse 20 / 35
Utilisateur anonyme
 
Tu as les 2 endroits !

Clik sur
explorer.exe
dans thread

recherche la dll et supprime la

pareil dans IEXPLORE.EXE

et continue la procedure

a+

0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Windows bloqué --> x:\windows\system32>
MO34 -
MisteryBean -

9 réponses
Comment trouver les fichier cachés ?
zup68 -
VoiciTaReponse -

124 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses