[trojan] Infection Genpack et Trojan.download

Fermé
Madrilene Messages postés 13 Date d'inscription samedi 12 août 2006 Statut Membre Dernière intervention 25 août 2008 - 12 août 2006 à 17:05
Madrilene Messages postés 13 Date d'inscription samedi 12 août 2006 Statut Membre Dernière intervention 25 août 2008 - 13 août 2006 à 15:08
Bonjour
suite à l'ouverture impromptue de différentes pubs (notamment pour des anti-spyware)sous IE et un ralentissement notoire de ma becane, j'ai fait un scan sur bitedefender qui m'a trouvé deux trojans :
Trojan Downloader.Winshow.AK dans C:\windows\vbaddin(2).ini=>:eamcyp:$DATA

et
Genpack:Trojan. Doawnloader.agent.bg dans
C:\windows\pqdisk1(2).cmd=>:fdvgjm:$DATA
J'ai pas supprimé les fichiers ne sachant pas trop si il fallait ou pas.

J'ai fais un scan avec Hijackthis en mode ss echec que voici :
Logfile of HijackThis v1.99.1
Scan saved at 16:45:00, on 12/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Calas\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_0/home.html"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [vzyqxtnhlu] c:\windows\system32\vzyqxtnhlu.exe vzyqxtnhlu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: La Solution Ciel 2000.lnk = C:\CIEL\STARTER.EXE
O4 - Startup: La Solution Enseignement Ciel.lnk = C:\CIEL\STARTER.EXE
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O15 - Trusted Zone: https://www.franceinter.fr/
O15 - Trusted Zone: https://www.radiofrance.com/
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.0_03) - 
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} - 
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} - 
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B2A23CC-957E-463F-9CD9-1305637949D6}: NameServer = 192.168.0.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: MacFormatService - Unknown owner - C:\Program Files\Conversions Plus\FORMATM.EXE" /SERVICE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


j'en ai fait un autre en mode normal que je vous communqiue si nécessaire

J'ai Spybot et ad aware mais je ne sais pas si je m'en sers bien mais j'arrive pas à éliminer les bestioles avec !

Merci pour votre aide préciseuse !
A voir également:

7 réponses

Madrilene Messages postés 13 Date d'inscription samedi 12 août 2006 Statut Membre Dernière intervention 25 août 2008
12 août 2006 à 17:53
Voici une petite précision , j'ai lu sur d'autres messages que cd'était pas mal de passer l'ordi sous la blackliste de F sécure, voici le resultats du scan :
08/12/06 11:42:44 [Info]: BlackLight Engine 1.0.42 initialized
08/12/06 11:42:44 [Info]: OS: 5.1 build 2600 (Service Pack 1)
08/12/06 11:42:45 [Note]: 7019 4
08/12/06 11:42:45 [Note]: 7005 0
08/12/06 11:42:54 [Note]: 7006 0
08/12/06 11:42:54 [Note]: 7011 300
08/12/06 11:42:55 [Note]: 7026 0
08/12/06 11:42:55 [Note]: 7026 0
08/12/06 11:42:55 [Note]: 7024 3
08/12/06 11:42:55 [Info]: Hidden process: C:\windows\system32\vzyqxtnhlu.exe
08/12/06 11:42:55 [Note]: FSRAW library version 1.7.1019
08/12/06 11:49:44 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu_nav.dat
08/12/06 11:49:44 [Note]: 10002 1
08/12/06 11:49:44 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu.dat
08/12/06 11:49:44 [Note]: 10002 1
08/12/06 11:49:44 [Info]: Hidden file: C:\windows\system32\vzyqxtnhlu.exe
08/12/06 11:49:44 [Note]: 10002 1
08/12/06 11:49:45 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu_navps.dat
08/12/06 11:49:45 [Note]: 10002 1
08/12/06 11:50:00 [Info]: Hidden file: c:\WINDOWS\Prefetch\VZYQXTNHLU.EXE-1666D3F0.pf
08/12/06 11:50:00 [Note]: 10002 1
08/12/06 11:55:01 [Note]: 7007 0


Si ca peut aider quelqu'un à m'aider :-)

Là ca commence a devenir de plus en plus difficile d'utiliser mon PC, je n'arrive plus a m'identifier sur un site dont j'ai la maintenance et les délais d'affichage d'une page sur intertenet, sont de plus en plus long... pourvu que mon ordi tienne jusqu'à la délivrance !!!
0
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
12 août 2006 à 17:53
Slt,


Fais ce nettoyage STP


Il est important d’effectuer la manip dans sa totalité et dans l’ordre :

Télécharge (sauf si tu les as) et colle les 3 rapports dans l’ordre

A - ad-aware version 1.06
(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip

B - spybot version 1.4
(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
voir demo d utilisation
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

C - Ccleaner : ( nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc..)
Télécharge ici :
https://www.ccleaner.com/ccleaner/download
Tutorial ici:
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

D – Ewido
https://www.malekal.com/tutorial-et-guide-ewido-v4/
ou
http://www.infos-du-net.com/telecharger/Ewido-Anti-Malware.html

Mets le à jour en cliquant update now.
Fais un "complete system scan".
A la fin du scan, vérifie qu'il y est bien marqué "delete à côté de chaque malware et clique seulement sur : "Apply all actions"
Ensuite, clique sur "Save Report " puis "Save report as" et sauve le rapport dans tes documents.

Copie/colle le rapport



E - Scan online avec BitDefender (fonctionne uniquement sous Internet Explorer en acceptant l’ activX)
https://assiste.com/404_La_page_demandee_n_existe_pas.php
http://www.bitdefender.fr/scan8/ie.html
Copie/COLLE le rapport entier


Fais l'hitJak en mode normal

A++
0
Madrilene Messages postés 13 Date d'inscription samedi 12 août 2006 Statut Membre Dernière intervention 25 août 2008
13 août 2006 à 13:06
Bonjour,
j'ai téléchargé tout ce que tu m'a demandé que je n'avais pas déjà. j'ai le même problem (pub intepestive avec entre autre doctor system) et je n'arrive pas à m'en débarasser.
D'abord:
Voici le rapport avec "blacklight" de F secure :

08/13/06 12:42:34 [Info]: BlackLight Engine 1.0.42 initialized
08/13/06 12:42:34 [Info]: OS: 5.1 build 2600 (Service Pack 1)
08/13/06 12:42:35 [Note]: 7019 4
08/13/06 12:42:35 [Note]: 7005 0
08/13/06 12:42:42 [Note]: 7006 0
08/13/06 12:42:42 [Note]: 7011 312
08/13/06 12:42:43 [Note]: 7026 0
08/13/06 12:42:43 [Note]: 7026 0
08/13/06 12:42:43 [Note]: 7024 3
08/13/06 12:42:43 [Info]: Hidden process: C:\windows\system32\vzyqxtnhlu.exe
08/13/06 12:42:43 [Note]: FSRAW library version 1.7.1019
08/13/06 12:48:19 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu_nav.dat
08/13/06 12:48:19 [Note]: 10002 1
08/13/06 12:48:20 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu.dat
08/13/06 12:48:20 [Note]: 10002 1
08/13/06 12:48:20 [Info]: Hidden file: C:\windows\system32\vzyqxtnhlu.exe
08/13/06 12:48:20 [Note]: 10002 1
08/13/06 12:48:20 [Info]: Hidden file: c:\WINDOWS\system32\vzyqxtnhlu_navps.dat
08/13/06 12:48:20 [Note]: 10002 1
08/13/06 12:48:33 [Info]: Hidden file: c:\WINDOWS\Prefetch\VZYQXTNHLU.EXE-1666D3F0.pf
08/13/06 12:48:33 [Note]: 10002 1
08/13/06 12:54:14 [Note]: 7007 0

Est-ce que quelqu'un(e) peut m'aider (j'ai essayé hier BFU etc...et ca ne ma pas enlevé mes pub :-()
?
Merci d'avance
0
Madrilene Messages postés 13 Date d'inscription samedi 12 août 2006 Statut Membre Dernière intervention 25 août 2008
13 août 2006 à 13:17
voici le hijack this en mode normalo avec la connexion internet allumée :

Logfile of HijackThis v1.99.1
Scan saved at 13:08:15, on 13/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
C:\PROGRA~1\Logitech\iTouch\iTouch.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SpamPal\spampal.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Documents and Settings\Calas\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_0/home.html"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: La Solution Ciel 2000.lnk = C:\CIEL\STARTER.EXE
O4 - Startup: La Solution Enseignement Ciel.lnk = C:\CIEL\STARTER.EXE
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O15 - Trusted Zone: https://www.franceinter.fr/
O15 - Trusted Zone: https://www.radiofrance.com/
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.0_03) - 
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} - 
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} - 
O17 - HKLM\System\CCS\Services\Tcpip\..\{39DB5B7B-256C-4C1F-B888-1CFF640350A6}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B2A23CC-957E-463F-9CD9-1305637949D6}: NameServer = 192.168.0.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: MacFormatService - Unknown owner - C:\Program Files\Conversions Plus\FORMATM.EXE" /SERVICE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

merci d'avance
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
13 août 2006 à 13:37
Re,

Essaie ça :
Ensuite, lance Blacklight en double cliquant sur blbeta.exe et accepte la licence.
Clique sur Scan pour lancer l'analyse.
Une fois fait, selectionnes chaques fichiers trouvés et clic sur "RENAME"
Puis valide.
Réponds oui aux messages d'avertissements et te demandant si tu autorises le reboot du pc.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

Après le reboot du pc, les fichiers :

C:\windows\system32\vzyqxtnhlu.exe
c:\WINDOWS\system32\vzyqxtnhlu_nav.dat
c:\WINDOWS\system32\vzyqxtnhlu.dat
c:\WINDOWS\system32\vzyqxtnhlu_navps.dat




devraient être visible et pouvoir être supprimés sans aucuns soucis.
Blacklight ne les supprimes pas, il les renommes simplement et il va falloir que tu les vires toi même:
Va dans C:\windows\system32\ et recherches et effaces:
vzyqxtnhlu.exe
vzyqxtnhlu_nav.dat
vzyqxtnhlu.dat
vzyqxtnhlu_navps.dat


Une fois fait, reposte un rapport hijackthis

0
Madrilene Messages postés 13 Date d'inscription samedi 12 août 2006 Statut Membre Dernière intervention 25 août 2008
13 août 2006 à 14:19
Bon j'ai éliminé les 5 fichiers renommés et voici le hijackthis (avec connexion internet allumée):

Logfile of HijackThis v1.99.1
Scan saved at 14:15:15, on 13/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SpamPal\spampal.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Calas\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_0/home.html"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Calas\Application Data\Mozilla\Profiles\default\xeldg8q3.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [vzyqxtnhlu] c:\windows\system32\vzyqxtnhlu.exe vzyqxtnhlu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: La Solution Ciel 2000.lnk = C:\CIEL\STARTER.EXE
O4 - Startup: La Solution Enseignement Ciel.lnk = C:\CIEL\STARTER.EXE
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O15 - Trusted Zone: https://www.franceinter.fr/
O15 - Trusted Zone: https://www.radiofrance.com/
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.0_03) - 
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} - 
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} - 
O17 - HKLM\System\CCS\Services\Tcpip\..\{39DB5B7B-256C-4C1F-B888-1CFF640350A6}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B2A23CC-957E-463F-9CD9-1305637949D6}: NameServer = 192.168.0.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: MacFormatService - Unknown owner - C:\Program Files\Conversions Plus\FORMATM.EXE" /SERVICE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Madrilene Messages postés 13 Date d'inscription samedi 12 août 2006 Statut Membre Dernière intervention 25 août 2008
13 août 2006 à 15:08
Bon j'ai un peu attendu avec une fenetre IE ouverte, pour l'instant je n'ai plus ces saletés de pub qui reviennent ouf ! et merci

Sinon, je viens de passer mon dossier system32 sous Ewido,
voici le rapport :
---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 15:08:32 13/08/2006

+ Scan result:



C:\WINDOWS\system32:rvaa.dll -> Downloader.Small.azk : Cleaned with backup (quarantined).


::Report end



J'ai choisi Quarantine, mais ce qui est bizarre c'est que lorsque je refais le scan, il retrouve toujours ce fichier infecté et que lorsque je regarde dans l'onglet "infection" quarantaine il n'y est pas ???bizarre

Est ce que ce Downloeader.Small.azk est toujours actif sur mon PC ?

Gracias.
0