[trojan] Infection Genpack et Trojan.download

Madrilene Messages postés 13 Date d'inscription   Statut Membre -  
Madrilene Messages postés 13 Date d'inscription   Statut Membre -
Bonjour
suite à l'ouverture impromptue de différentes pubs (notamment pour des anti-spyware)sous IE et un ralentissement notoire de ma becane, j'ai fait un scan sur bitedefender qui m'a trouvé deux trojans :
Trojan Downloader.Winshow.AK dans C:\windows\vbaddin(2).ini=>:eamcyp:$DATA

et
Genpack:Trojan. Doawnloader.agent.bg dans
C:\windows\pqdisk1(2).cmd=>:fdvgjm:$DATA
J'ai pas supprimé les fichiers ne sachant pas trop si il fallait ou pas.

J'ai fais un scan avec Hijackthis en mode ss echec que voici :
Logfile of HijackThis v1.99.1
Scan saved at 16:45:00, on 12/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Calas\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_0/home.html"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [vzyqxtnhlu] c:\windows\system32\vzyqxtnhlu.exe vzyqxtnhlu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: La Solution Ciel 2000.lnk = C:\CIEL\STARTER.EXE
O4 - Startup: La Solution Enseignement Ciel.lnk = C:\CIEL\STARTER.EXE
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O15 - Trusted Zone: https://www.franceinter.fr/
O15 - Trusted Zone: https://www.radiofrance.com/
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.0_03) - 
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} - 
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} - 
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B2A23CC-957E-463F-9CD9-1305637949D6}: NameServer = 192.168.0.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: MacFormatService - Unknown owner - C:\Program Files\Conversions Plus\FORMATM.EXE" /SERVICE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


j'en ai fait un autre en mode normal que je vous communqiue si nécessaire

J'ai Spybot et ad aware mais je ne sais pas si je m'en sers bien mais j'arrive pas à éliminer les bestioles avec !

Merci pour votre aide préciseuse !
Configuration: Win XP familial

7 réponses

  1. Madrilene Messages postés 13 Date d'inscription   Statut Membre
     
    Voici une petite précision , j'ai lu sur d'autres messages que cd'était pas mal de passer l'ordi sous la blackliste de F sécure, voici le resultats du scan :
    08/12/06 11:42:44 [Info]: BlackLight Engine 1.0.42 initialized
    08/12/06 11:42:44 [Info]: OS: 5.1 build 2600 (Service Pack 1)
    08/12/06 11:42:45 [Note]: 7019 4
    08/12/06 11:42:45 [Note]: 7005 0
    08/12/06 11:42:54 [Note]: 7006 0
    08/12/06 11:42:54 [Note]: 7011 300
    08/12/06 11:42:55 [Note]: 7026 0
    08/12/06 11:42:55 [Note]: 7026 0
    08/12/06 11:42:55 [Note]: 7024 3
    08/12/06 11:42:55 [Info]: Hidden process: C:\windows\system32\vzyqxtnhlu.exe
    08/12/06 11:42:55 [Note]: FSRAW library version 1.7.1019
    08/12/06 11:49:44 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu_nav.dat
    08/12/06 11:49:44 [Note]: 10002 1
    08/12/06 11:49:44 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu.dat
    08/12/06 11:49:44 [Note]: 10002 1
    08/12/06 11:49:44 [Info]: Hidden file: C:\windows\system32\vzyqxtnhlu.exe
    08/12/06 11:49:44 [Note]: 10002 1
    08/12/06 11:49:45 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu_navps.dat
    08/12/06 11:49:45 [Note]: 10002 1
    08/12/06 11:50:00 [Info]: Hidden file: c:\WINDOWS\Prefetch\VZYQXTNHLU.EXE-1666D3F0.pf
    08/12/06 11:50:00 [Note]: 10002 1
    08/12/06 11:55:01 [Note]: 7007 0


    Si ca peut aider quelqu'un à m'aider :-)

    Là ca commence a devenir de plus en plus difficile d'utiliser mon PC, je n'arrive plus a m'identifier sur un site dont j'ai la maintenance et les délais d'affichage d'une page sur intertenet, sont de plus en plus long... pourvu que mon ordi tienne jusqu'à la délivrance !!!
    0
  2. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Slt,

    Fais ce nettoyage STP

    Il est important d’effectuer la manip dans sa totalité et dans l’ordre :

    Télécharge (sauf si tu les as) et colle les 3 rapports dans l’ordre

    A - ad-aware version 1.06
    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
    voir demo
    http://pageperso.aol.fr/balltrap34/adwseflash.zip

    B - spybot version 1.4
    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
    voir demo d utilisation
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

    C - Ccleaner : ( nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc..)
    Télécharge ici :
    https://www.ccleaner.com/ccleaner/download
    Tutorial ici:
    https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

    D – Ewido
    https://www.malekal.com/tutorial-et-guide-ewido-v4/
    ou
    http://www.infos-du-net.com/telecharger/Ewido-Anti-Malware.html

    Mets le à jour en cliquant update now.
    Fais un "complete system scan".
    A la fin du scan, vérifie qu'il y est bien marqué "delete à côté de chaque malware et clique seulement sur : "Apply all actions"
    Ensuite, clique sur "Save Report " puis "Save report as" et sauve le rapport dans tes documents.

    Copie/colle le rapport

    E - Scan online avec BitDefender (fonctionne uniquement sous Internet Explorer en acceptant l’ activX)
    https://assiste.com/404_La_page_demandee_n_existe_pas.php
    http://www.bitdefender.fr/scan8/ie.html
    Copie/COLLE le rapport entier

    Fais l'hitJak en mode normal

    A++
    0
  3. Madrilene Messages postés 13 Date d'inscription   Statut Membre
     
    Bonjour,
    j'ai téléchargé tout ce que tu m'a demandé que je n'avais pas déjà. j'ai le même problem (pub intepestive avec entre autre doctor system) et je n'arrive pas à m'en débarasser.
    D'abord:
    Voici le rapport avec "blacklight" de F secure :

    08/13/06 12:42:34 [Info]: BlackLight Engine 1.0.42 initialized
    08/13/06 12:42:34 [Info]: OS: 5.1 build 2600 (Service Pack 1)
    08/13/06 12:42:35 [Note]: 7019 4
    08/13/06 12:42:35 [Note]: 7005 0
    08/13/06 12:42:42 [Note]: 7006 0
    08/13/06 12:42:42 [Note]: 7011 312
    08/13/06 12:42:43 [Note]: 7026 0
    08/13/06 12:42:43 [Note]: 7026 0
    08/13/06 12:42:43 [Note]: 7024 3
    08/13/06 12:42:43 [Info]: Hidden process: C:\windows\system32\vzyqxtnhlu.exe
    08/13/06 12:42:43 [Note]: FSRAW library version 1.7.1019
    08/13/06 12:48:19 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu_nav.dat
    08/13/06 12:48:19 [Note]: 10002 1
    08/13/06 12:48:20 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu.dat
    08/13/06 12:48:20 [Note]: 10002 1
    08/13/06 12:48:20 [Info]: Hidden file: C:\windows\system32\vzyqxtnhlu.exe
    08/13/06 12:48:20 [Note]: 10002 1
    08/13/06 12:48:20 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu_navps.dat
    08/13/06 12:48:20 [Note]: 10002 1
    08/13/06 12:48:33 [Info]: Hidden file: c:\WINDOWS\Prefetch\VZYQXTNHLU.EXE-1666D3F0.pf
    08/13/06 12:48:33 [Note]: 10002 1
    08/13/06 12:54:14 [Note]: 7007 0

    Est-ce que quelqu'un(e) peut m'aider (j'ai essayé hier BFU etc...et ca ne ma pas enlevé mes pub :-()
    ?
    Merci d'avance
    0
  4. Madrilene Messages postés 13 Date d'inscription   Statut Membre
     
    voici le hijack this en mode normalo avec la connexion internet allumée :

    Logfile of HijackThis v1.99.1
    Scan saved at 13:08:15, on 13/08/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\carpserv.exe
    C:\WINDOWS\System32\atiptaxx.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
    C:\PROGRA~1\Logitech\iTouch\iTouch.exe
    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\SpamPal\spampal.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\PROGRA~1\Netscape\Netscape\Netscp.exe
    C:\Documents and Settings\Calas\Bureau\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_0/home.html"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js)
    N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [LaunchApp] Alaunch
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
    O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: La Solution Ciel 2000.lnk = C:\CIEL\STARTER.EXE
    O4 - Startup: La Solution Enseignement Ciel.lnk = C:\CIEL\STARTER.EXE
    O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O15 - Trusted Zone: https://www.franceinter.fr/
    O15 - Trusted Zone: https://www.radiofrance.com/
    O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - 
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.0_03) - 
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} - 
    O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} - 
    O17 - HKLM\System\CCS\Services\Tcpip\..\{39DB5B7B-256C-4C1F-B888-1CFF640350A6}: NameServer = 80.10.246.1 80.10.246.132
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3B2A23CC-957E-463F-9CD9-1305637949D6}: NameServer = 192.168.0.1
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: MacFormatService - Unknown owner - C:\Program Files\Conversions Plus\FORMATM.EXE" /SERVICE (file missing)
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    merci d'avance
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Re,

    Essaie ça :
    Ensuite, lance Blacklight en double cliquant sur blbeta.exe et accepte la licence.
    Clique sur Scan pour lancer l'analyse.
    Une fois fait, selectionnes chaques fichiers trouvés et clic sur "RENAME"
    Puis valide.
    Réponds oui aux messages d'avertissements et te demandant si tu autorises le reboot du pc.

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

    Après le reboot du pc, les fichiers :

    C:\windows\system32\vzyqxtnhlu.exe
    c:\WINDOWS\system32\vzyqxtnhlu_nav.dat
    c:\WINDOWS\system32\vzyqxtnhlu.dat
    c:\WINDOWS\system32\vzyqxtnhlu_navps.dat

    devraient être visible et pouvoir être supprimés sans aucuns soucis.
    Blacklight ne les supprimes pas, il les renommes simplement et il va falloir que tu les vires toi même:
    Va dans C:\windows\system32\ et recherches et effaces:
    vzyqxtnhlu.exe
    vzyqxtnhlu_nav.dat
    vzyqxtnhlu.dat
    vzyqxtnhlu_navps.dat

    Une fois fait, reposte un rapport hijackthis

    0
  7. Madrilene Messages postés 13 Date d'inscription   Statut Membre
     
    Bon j'ai éliminé les 5 fichiers renommés et voici le hijackthis (avec connexion internet allumée):

    Logfile of HijackThis v1.99.1
    Scan saved at 14:15:15, on 13/08/2006
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\carpserv.exe
    C:\WINDOWS\System32\atiptaxx.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Netscape\Netscape\Netscp.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\SpamPal\spampal.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\System32\WgaTray.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\Calas\Bureau\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_0/home.html"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js)
    N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [LaunchApp] Alaunch
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
    O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
    O4 - HKLM\..\Run: [vzyqxtnhlu] c:\windows\system32\vzyqxtnhlu.exe vzyqxtnhlu
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: La Solution Ciel 2000.lnk = C:\CIEL\STARTER.EXE
    O4 - Startup: La Solution Enseignement Ciel.lnk = C:\CIEL\STARTER.EXE
    O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O15 - Trusted Zone: https://www.franceinter.fr/
    O15 - Trusted Zone: https://www.radiofrance.com/
    O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - 
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.0_03) - 
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} - 
    O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} - 
    O17 - HKLM\System\CCS\Services\Tcpip\..\{39DB5B7B-256C-4C1F-B888-1CFF640350A6}: NameServer = 80.10.246.1 80.10.246.132
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3B2A23CC-957E-463F-9CD9-1305637949D6}: NameServer = 192.168.0.1
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: MacFormatService - Unknown owner - C:\Program Files\Conversions Plus\FORMATM.EXE" /SERVICE (file missing)
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  8. Madrilene Messages postés 13 Date d'inscription   Statut Membre
     
    Bon j'ai un peu attendu avec une fenetre IE ouverte, pour l'instant je n'ai plus ces saletés de pub qui reviennent ouf ! et merci

    Sinon, je viens de passer mon dossier system32 sous Ewido,
    voici le rapport :
    ---------------------------------------------------------
    ewido anti-spyware - Scan Report
    ---------------------------------------------------------

    + Created at: 15:08:32 13/08/2006

    + Scan result:

    C:\WINDOWS\system32:rvaa.dll -> Downloader.Small.azk : Cleaned with backup (quarantined).

    ::Report end

    J'ai choisi Quarantine, mais ce qui est bizarre c'est que lorsque je refais le scan, il retrouve toujours ce fichier infecté et que lorsque je regarde dans l'onglet "infection" quarantaine il n'y est pas ???bizarre

    Est ce que ce Downloeader.Small.azk est toujours actif sur mon PC ?

    Gracias.
    0