[trojan] Infection Genpack et Trojan.download
Madrilene
Messages postés
13
Statut
Membre
-
Madrilene Messages postés 13 Statut Membre -
Madrilene Messages postés 13 Statut Membre -
Bonjour
suite à l'ouverture impromptue de différentes pubs (notamment pour des anti-spyware)sous IE et un ralentissement notoire de ma becane, j'ai fait un scan sur bitedefender qui m'a trouvé deux trojans :
Trojan Downloader.Winshow.AK dans C:\windows\vbaddin(2).ini=>:eamcyp:$DATA
et
Genpack:Trojan. Doawnloader.agent.bg dans
C:\windows\pqdisk1(2).cmd=>:fdvgjm:$DATA
J'ai pas supprimé les fichiers ne sachant pas trop si il fallait ou pas.
J'ai fais un scan avec Hijackthis en mode ss echec que voici :
j'en ai fait un autre en mode normal que je vous communqiue si nécessaire
J'ai Spybot et ad aware mais je ne sais pas si je m'en sers bien mais j'arrive pas à éliminer les bestioles avec !
Merci pour votre aide préciseuse !
suite à l'ouverture impromptue de différentes pubs (notamment pour des anti-spyware)sous IE et un ralentissement notoire de ma becane, j'ai fait un scan sur bitedefender qui m'a trouvé deux trojans :
Trojan Downloader.Winshow.AK dans C:\windows\vbaddin(2).ini=>:eamcyp:$DATA
et
Genpack:Trojan. Doawnloader.agent.bg dans
C:\windows\pqdisk1(2).cmd=>:fdvgjm:$DATA
J'ai pas supprimé les fichiers ne sachant pas trop si il fallait ou pas.
J'ai fais un scan avec Hijackthis en mode ss echec que voici :
Logfile of HijackThis v1.99.1 Scan saved at 16:45:00, on 12/08/2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\Calas\Bureau\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_0/home.html"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js) N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [vzyqxtnhlu] c:\windows\system32\vzyqxtnhlu.exe vzyqxtnhlu O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: La Solution Ciel 2000.lnk = C:\CIEL\STARTER.EXE O4 - Startup: La Solution Enseignement Ciel.lnk = C:\CIEL\STARTER.EXE O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O15 - Trusted Zone: https://www.franceinter.fr/ O15 - Trusted Zone: https://www.radiofrance.com/ O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.0_03) - O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} - O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} - O17 - HKLM\System\CCS\Services\Tcpip\..\{3B2A23CC-957E-463F-9CD9-1305637949D6}: NameServer = 192.168.0.1 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: MacFormatService - Unknown owner - C:\Program Files\Conversions Plus\FORMATM.EXE" /SERVICE (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
j'en ai fait un autre en mode normal que je vous communqiue si nécessaire
J'ai Spybot et ad aware mais je ne sais pas si je m'en sers bien mais j'arrive pas à éliminer les bestioles avec !
Merci pour votre aide préciseuse !
A voir également:
- [trojan] Infection Genpack et Trojan.download
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Trojan b901 system32 win config 34 ✓ - Forum Virus
- Csrss.exe trojan fr ✓ - Forum Virus
- Trojan win32 - Forum Virus
7 réponses
Voici une petite précision , j'ai lu sur d'autres messages que cd'était pas mal de passer l'ordi sous la blackliste de F sécure, voici le resultats du scan :
Si ca peut aider quelqu'un à m'aider :-)
Là ca commence a devenir de plus en plus difficile d'utiliser mon PC, je n'arrive plus a m'identifier sur un site dont j'ai la maintenance et les délais d'affichage d'une page sur intertenet, sont de plus en plus long... pourvu que mon ordi tienne jusqu'à la délivrance !!!
08/12/06 11:42:44 [Info]: BlackLight Engine 1.0.42 initialized 08/12/06 11:42:44 [Info]: OS: 5.1 build 2600 (Service Pack 1) 08/12/06 11:42:45 [Note]: 7019 4 08/12/06 11:42:45 [Note]: 7005 0 08/12/06 11:42:54 [Note]: 7006 0 08/12/06 11:42:54 [Note]: 7011 300 08/12/06 11:42:55 [Note]: 7026 0 08/12/06 11:42:55 [Note]: 7026 0 08/12/06 11:42:55 [Note]: 7024 3 08/12/06 11:42:55 [Info]: Hidden process: C:\windows\system32\vzyqxtnhlu.exe 08/12/06 11:42:55 [Note]: FSRAW library version 1.7.1019 08/12/06 11:49:44 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu_nav.dat 08/12/06 11:49:44 [Note]: 10002 1 08/12/06 11:49:44 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu.dat 08/12/06 11:49:44 [Note]: 10002 1 08/12/06 11:49:44 [Info]: Hidden file: C:\windows\system32\vzyqxtnhlu.exe 08/12/06 11:49:44 [Note]: 10002 1 08/12/06 11:49:45 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu_navps.dat 08/12/06 11:49:45 [Note]: 10002 1 08/12/06 11:50:00 [Info]: Hidden file: c:\WINDOWS\Prefetch\VZYQXTNHLU.EXE-1666D3F0.pf 08/12/06 11:50:00 [Note]: 10002 1 08/12/06 11:55:01 [Note]: 7007 0
Si ca peut aider quelqu'un à m'aider :-)
Là ca commence a devenir de plus en plus difficile d'utiliser mon PC, je n'arrive plus a m'identifier sur un site dont j'ai la maintenance et les délais d'affichage d'une page sur intertenet, sont de plus en plus long... pourvu que mon ordi tienne jusqu'à la délivrance !!!
Slt,
Fais ce nettoyage STP
Il est important d’effectuer la manip dans sa totalité et dans l’ordre :
Télécharge (sauf si tu les as) et colle les 3 rapports dans l’ordre
A - ad-aware version 1.06
(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
B - spybot version 1.4
(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
voir demo d utilisation
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
C - Ccleaner : ( nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc..)
Télécharge ici :
https://www.ccleaner.com/ccleaner/download
Tutorial ici:
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
D – Ewido
https://www.malekal.com/tutorial-et-guide-ewido-v4/
ou
http://www.infos-du-net.com/telecharger/Ewido-Anti-Malware.html
Mets le à jour en cliquant update now.
Fais un "complete system scan".
A la fin du scan, vérifie qu'il y est bien marqué "delete à côté de chaque malware et clique seulement sur : "Apply all actions"
Ensuite, clique sur "Save Report " puis "Save report as" et sauve le rapport dans tes documents.
Copie/colle le rapport
E - Scan online avec BitDefender (fonctionne uniquement sous Internet Explorer en acceptant l’ activX)
https://assiste.com/404_La_page_demandee_n_existe_pas.php
http://www.bitdefender.fr/scan8/ie.html
Copie/COLLE le rapport entier
Fais l'hitJak en mode normal
A++
Fais ce nettoyage STP
Il est important d’effectuer la manip dans sa totalité et dans l’ordre :
Télécharge (sauf si tu les as) et colle les 3 rapports dans l’ordre
A - ad-aware version 1.06
(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
B - spybot version 1.4
(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
voir demo d utilisation
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
C - Ccleaner : ( nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc..)
Télécharge ici :
https://www.ccleaner.com/ccleaner/download
Tutorial ici:
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
D – Ewido
https://www.malekal.com/tutorial-et-guide-ewido-v4/
ou
http://www.infos-du-net.com/telecharger/Ewido-Anti-Malware.html
Mets le à jour en cliquant update now.
Fais un "complete system scan".
A la fin du scan, vérifie qu'il y est bien marqué "delete à côté de chaque malware et clique seulement sur : "Apply all actions"
Ensuite, clique sur "Save Report " puis "Save report as" et sauve le rapport dans tes documents.
Copie/colle le rapport
E - Scan online avec BitDefender (fonctionne uniquement sous Internet Explorer en acceptant l’ activX)
https://assiste.com/404_La_page_demandee_n_existe_pas.php
http://www.bitdefender.fr/scan8/ie.html
Copie/COLLE le rapport entier
Fais l'hitJak en mode normal
A++
Bonjour,
j'ai téléchargé tout ce que tu m'a demandé que je n'avais pas déjà. j'ai le même problem (pub intepestive avec entre autre doctor system) et je n'arrive pas à m'en débarasser.
D'abord:
Voici le rapport avec "blacklight" de F secure :
08/13/06 12:42:34 [Info]: BlackLight Engine 1.0.42 initialized
08/13/06 12:42:34 [Info]: OS: 5.1 build 2600 (Service Pack 1)
08/13/06 12:42:35 [Note]: 7019 4
08/13/06 12:42:35 [Note]: 7005 0
08/13/06 12:42:42 [Note]: 7006 0
08/13/06 12:42:42 [Note]: 7011 312
08/13/06 12:42:43 [Note]: 7026 0
08/13/06 12:42:43 [Note]: 7026 0
08/13/06 12:42:43 [Note]: 7024 3
08/13/06 12:42:43 [Info]: Hidden process: C:\windows\system32\vzyqxtnhlu.exe
08/13/06 12:42:43 [Note]: FSRAW library version 1.7.1019
08/13/06 12:48:19 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu_nav.dat
08/13/06 12:48:19 [Note]: 10002 1
08/13/06 12:48:20 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu.dat
08/13/06 12:48:20 [Note]: 10002 1
08/13/06 12:48:20 [Info]: Hidden file: C:\windows\system32\vzyqxtnhlu.exe
08/13/06 12:48:20 [Note]: 10002 1
08/13/06 12:48:20 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu_navps.dat
08/13/06 12:48:20 [Note]: 10002 1
08/13/06 12:48:33 [Info]: Hidden file: c:\WINDOWS\Prefetch\VZYQXTNHLU.EXE-1666D3F0.pf
08/13/06 12:48:33 [Note]: 10002 1
08/13/06 12:54:14 [Note]: 7007 0
Est-ce que quelqu'un(e) peut m'aider (j'ai essayé hier BFU etc...et ca ne ma pas enlevé mes pub :-()
?
Merci d'avance
j'ai téléchargé tout ce que tu m'a demandé que je n'avais pas déjà. j'ai le même problem (pub intepestive avec entre autre doctor system) et je n'arrive pas à m'en débarasser.
D'abord:
Voici le rapport avec "blacklight" de F secure :
08/13/06 12:42:34 [Info]: BlackLight Engine 1.0.42 initialized
08/13/06 12:42:34 [Info]: OS: 5.1 build 2600 (Service Pack 1)
08/13/06 12:42:35 [Note]: 7019 4
08/13/06 12:42:35 [Note]: 7005 0
08/13/06 12:42:42 [Note]: 7006 0
08/13/06 12:42:42 [Note]: 7011 312
08/13/06 12:42:43 [Note]: 7026 0
08/13/06 12:42:43 [Note]: 7026 0
08/13/06 12:42:43 [Note]: 7024 3
08/13/06 12:42:43 [Info]: Hidden process: C:\windows\system32\vzyqxtnhlu.exe
08/13/06 12:42:43 [Note]: FSRAW library version 1.7.1019
08/13/06 12:48:19 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu_nav.dat
08/13/06 12:48:19 [Note]: 10002 1
08/13/06 12:48:20 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu.dat
08/13/06 12:48:20 [Note]: 10002 1
08/13/06 12:48:20 [Info]: Hidden file: C:\windows\system32\vzyqxtnhlu.exe
08/13/06 12:48:20 [Note]: 10002 1
08/13/06 12:48:20 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu_navps.dat
08/13/06 12:48:20 [Note]: 10002 1
08/13/06 12:48:33 [Info]: Hidden file: c:\WINDOWS\Prefetch\VZYQXTNHLU.EXE-1666D3F0.pf
08/13/06 12:48:33 [Note]: 10002 1
08/13/06 12:54:14 [Note]: 7007 0
Est-ce que quelqu'un(e) peut m'aider (j'ai essayé hier BFU etc...et ca ne ma pas enlevé mes pub :-()
?
Merci d'avance
voici le hijack this en mode normalo avec la connexion internet allumée :
merci d'avance
Logfile of HijackThis v1.99.1 Scan saved at 13:08:15, on 13/08/2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\crypserv.exe C:\Program Files\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\carpserv.exe C:\WINDOWS\System32\atiptaxx.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE C:\PROGRA~1\Logitech\iTouch\iTouch.exe C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\SpamPal\spampal.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Internet Explorer\iexplore.exe C:\PROGRA~1\Netscape\Netscape\Netscp.exe C:\Documents and Settings\Calas\Bureau\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_0/home.html"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js) N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: La Solution Ciel 2000.lnk = C:\CIEL\STARTER.EXE O4 - Startup: La Solution Enseignement Ciel.lnk = C:\CIEL\STARTER.EXE O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O15 - Trusted Zone: https://www.franceinter.fr/ O15 - Trusted Zone: https://www.radiofrance.com/ O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.0_03) - O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} - O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} - O17 - HKLM\System\CCS\Services\Tcpip\..\{39DB5B7B-256C-4C1F-B888-1CFF640350A6}: NameServer = 80.10.246.1 80.10.246.132 O17 - HKLM\System\CCS\Services\Tcpip\..\{3B2A23CC-957E-463F-9CD9-1305637949D6}: NameServer = 192.168.0.1 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe O23 - Service: MacFormatService - Unknown owner - C:\Program Files\Conversions Plus\FORMATM.EXE" /SERVICE (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
merci d'avance
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
Essaie ça :
Ensuite, lance Blacklight en double cliquant sur blbeta.exe et accepte la licence.
Clique sur Scan pour lancer l'analyse.
Une fois fait, selectionnes chaques fichiers trouvés et clic sur "RENAME"
Puis valide.
Réponds oui aux messages d'avertissements et te demandant si tu autorises le reboot du pc.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-
Après le reboot du pc, les fichiers :
C:\windows\system32\vzyqxtnhlu.exe
c:\WINDOWS\system32\vzyqxtnhlu_nav.dat
c:\WINDOWS\system32\vzyqxtnhlu.dat
c:\WINDOWS\system32\vzyqxtnhlu_navps.dat
devraient être visible et pouvoir être supprimés sans aucuns soucis.
Blacklight ne les supprimes pas, il les renommes simplement et il va falloir que tu les vires toi même:
Va dans C:\windows\system32\ et recherches et effaces:
vzyqxtnhlu.exe
vzyqxtnhlu_nav.dat
vzyqxtnhlu.dat
vzyqxtnhlu_navps.dat
Une fois fait, reposte un rapport hijackthis
Essaie ça :
Ensuite, lance Blacklight en double cliquant sur blbeta.exe et accepte la licence.
Clique sur Scan pour lancer l'analyse.
Une fois fait, selectionnes chaques fichiers trouvés et clic sur "RENAME"
Puis valide.
Réponds oui aux messages d'avertissements et te demandant si tu autorises le reboot du pc.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-
Après le reboot du pc, les fichiers :
C:\windows\system32\vzyqxtnhlu.exe
c:\WINDOWS\system32\vzyqxtnhlu_nav.dat
c:\WINDOWS\system32\vzyqxtnhlu.dat
c:\WINDOWS\system32\vzyqxtnhlu_navps.dat
devraient être visible et pouvoir être supprimés sans aucuns soucis.
Blacklight ne les supprimes pas, il les renommes simplement et il va falloir que tu les vires toi même:
Va dans C:\windows\system32\ et recherches et effaces:
vzyqxtnhlu.exe
vzyqxtnhlu_nav.dat
vzyqxtnhlu.dat
vzyqxtnhlu_navps.dat
Une fois fait, reposte un rapport hijackthis
Bon j'ai éliminé les 5 fichiers renommés et voici le hijackthis (avec connexion internet allumée):
Logfile of HijackThis v1.99.1 Scan saved at 14:15:15, on 13/08/2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\crypserv.exe C:\Program Files\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\carpserv.exe C:\WINDOWS\System32\atiptaxx.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Netscape\Netscape\Netscp.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\SpamPal\spampal.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\WgaTray.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\Calas\Bureau\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_0/home.html"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js) N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [vzyqxtnhlu] c:\windows\system32\vzyqxtnhlu.exe vzyqxtnhlu O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: La Solution Ciel 2000.lnk = C:\CIEL\STARTER.EXE O4 - Startup: La Solution Enseignement Ciel.lnk = C:\CIEL\STARTER.EXE O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O15 - Trusted Zone: https://www.franceinter.fr/ O15 - Trusted Zone: https://www.radiofrance.com/ O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.0_03) - O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} - O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} - O17 - HKLM\System\CCS\Services\Tcpip\..\{39DB5B7B-256C-4C1F-B888-1CFF640350A6}: NameServer = 80.10.246.1 80.10.246.132 O17 - HKLM\System\CCS\Services\Tcpip\..\{3B2A23CC-957E-463F-9CD9-1305637949D6}: NameServer = 192.168.0.1 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe O23 - Service: MacFormatService - Unknown owner - C:\Program Files\Conversions Plus\FORMATM.EXE" /SERVICE (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Bon j'ai un peu attendu avec une fenetre IE ouverte, pour l'instant je n'ai plus ces saletés de pub qui reviennent ouf ! et merci
Sinon, je viens de passer mon dossier system32 sous Ewido,
voici le rapport :
---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------
+ Created at: 15:08:32 13/08/2006
+ Scan result:
C:\WINDOWS\system32:rvaa.dll -> Downloader.Small.azk : Cleaned with backup (quarantined).
::Report end
J'ai choisi Quarantine, mais ce qui est bizarre c'est que lorsque je refais le scan, il retrouve toujours ce fichier infecté et que lorsque je regarde dans l'onglet "infection" quarantaine il n'y est pas ???bizarre
Est ce que ce Downloeader.Small.azk est toujours actif sur mon PC ?
Gracias.
Sinon, je viens de passer mon dossier system32 sous Ewido,
voici le rapport :
---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------
+ Created at: 15:08:32 13/08/2006
+ Scan result:
C:\WINDOWS\system32:rvaa.dll -> Downloader.Small.azk : Cleaned with backup (quarantined).
::Report end
J'ai choisi Quarantine, mais ce qui est bizarre c'est que lorsque je refais le scan, il retrouve toujours ce fichier infecté et que lorsque je regarde dans l'onglet "infection" quarantaine il n'y est pas ???bizarre
Est ce que ce Downloeader.Small.azk est toujours actif sur mon PC ?
Gracias.
