Troyen, virus.....marci!!!

[Résolu/Fermé]
Signaler
Messages postés
55
Date d'inscription
vendredi 31 mars 2006
Statut
Membre
Dernière intervention
20 octobre 2006
-
Messages postés
22963
Date d'inscription
mardi 14 mars 2006
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
-
salut boulepate!!!!
pour bitdefender sa a l'air clean, aucun fichier infecter depuis....
je pense que cela venait du troyen que ma detecter ewido.
je te remercie mais je pense avoir encore un mystere qui concernent le 2eme pc que j'ai en reseau qui lui ram a fond(UC 100prCent, temp de reponse inerminable et bug en tout genre)
si cela t'interresse je tecolle son rapport hijack...
encore merci

Logfile of HijackThis v1.99.1
Scan saved at 20:28:13, on 30/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Anyplace Control\apc_host.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\atievxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\lxcccoms.exe
C:\ZAPLITE\ZMB.EXE
C:\Documents and Settings\st-eph\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxccmon.exe] "C:\Program Files\Lexmark 3300 Series\lxccmon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BB39E68-2979-4929-A372-75B15C8E76E2}: NameServer = 192.168.0.1
O23 - Service: APC-Host - Anyplace Control Software - C:\Program Files\Anyplace Control\apc_host.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

tchao (je pense que ta reputation nes plus a faire ;-l)

1 réponse

Messages postés
22963
Date d'inscription
mardi 14 mars 2006
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
2 564
Hey :-)

on va voir ce que l'on peut faire..rien ne sera supprimé sauf si indiqué


Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"


O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O23 - Service: APC-Host - Anyplace Control Software - C:\Program Files\Anyplace Control\apc_host.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe


Clic sur demarrer, executer, tape: services.msc ,cherche dans la liste les lignes ci-dessous et regle les sur "manuel"

APC-Host < si tu t'en sert laisse la comme elle est <(prise à distance du PC)

InCD Helper


Connais-tu ce programme: C:\ZAPLITE\ZMB.EXE sinon, supprime le, ça doit etre un lecteur multimédia pas sûr donc j'te demande au cas ou.


Fais ce nettoyage: (à faire réguliérement)

¤Telecharges et installes ceci:
CCleaner:
Ccleaner

dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes

¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"



J'vois pas de traces de logiciels anti-spywares installe les trois là puis s'ils te trouvent des salopries supprime tous, s'ils t'en trouve beaucoup signale le moi.


SpyBot-Search & Destroy: (gratuit)
Spybot Search & Destroy

A² squared: (gratuit)
A² squared

Ad-Aware SE Personal: (en anglais, gratuit))
Ad-aware SE personal
-Le patch pour le faire fonctionner Ad-Aware SE en français: Patch français pour Ad-aware


Puis:

Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp

https://www.bitdefender.com/toolbox/


A+++
Messages postés
55
Date d'inscription
vendredi 31 mars 2006
Statut
Membre
Dernière intervention
20 octobre 2006
3
ou!!!!!
jai fait le scan bitdefender pour mn pc et pa celui en reseau qui ne devrair pas tarder a se finir....
je pose donc ici le rapport bitdefender.
autrement, tu ne sais pas comment je pourrai acceder au dossier Systeme_volume_information car jai un acces refuser...merci




BitDefender Online Scanner


Scan report generated at: Thu, Aug 31, 2006 - 00:58:57


Scan path: C:\;D:\;E:\;F:\;G:\;H:\;


Statistics

Time


01:11:27

Files


403082

Folders


3610

Boot Sectors


3

Archives


7375

Packed Files


43107


Results

Identified Viruses


4

Infected Files


8

Suspect Files


0

Warnings


0

Disinfected


0

Deleted Files

8

Engines Info

Virus Definitions


451684

Engine build


AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

Scan plugins


13

Archive plugins


39

Unpack plugins


5

E-mail plugins


6

System plugins


1

Scan Settings

First Action


Disinfect

Second Action


Delete

Heuristics


Yes

Enable Warnings


Yes

Scanned Extensions


*;

Exclude Extensions




Scan Emails


Yes

Scan Archives


Yes

Scan Packed


Yes

Scan Files


Yes

Scan Boot


Yes

Scanned File


Status

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003317.EXE


Detected with: Application.Adware.NewDotNet.B.Dropper

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003317.EXE


Deleted

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003322.exe=>wise0014


Detected with: Application.Adware.NewDotNet.B.Dropper

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003322.exe=>wise0014


Deleted

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003322.exe


Update failed

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003322.exe=>wise0015=>(CAB Sfx r)=>Setup.exe


Infected with: Trojan.Dropper.Agent.DF

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003322.exe=>wise0015=>(CAB Sfx r)=>Setup.exe


Disinfection failed

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003322.exe=>wise0015=>(CAB Sfx r)=>Setup.exe


Deleted

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003322.exe=>wise0015=>(CAB Sfx r)


Update failed

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003323.exe=>wise0014


Detected with: Application.Adware.NewDotNet.B.Dropper

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003323.exe=>wise0014


Deleted

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003323.exe


Update failed

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003323.exe=>wise0015=>(CAB Sfx r)=>Setup.exe


Infected with: Trojan.Dropper.Agent.DF

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003323.exe=>wise0015=>(CAB Sfx r)=>Setup.exe


Disinfection failed

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003323.exe=>wise0015=>(CAB Sfx r)=>Setup.exe


Deleted

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003323.exe=>wise0015=>(CAB Sfx r)


Update failed

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003326.EXE


Detected with: Application.Adware.NewDotNet.B.Dropper

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP19\A0003326.EXE


Deleted

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP33\A0010100.exe


Infected with: Trojan.ProcKill.DJ

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP33\A0010100.exe


Deleted

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP34\A0010105.exe


Infected with: Win32.Worm.Mytob.FR

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP34\A0010105.exe


Disinfection failed

C:\System Volume Information\_restore{6C3CAB59-F87E-46DF-A7BC-F3653627E50C}\RP34\A0010105.exe


Deleted
voila....
Messages postés
22963
Date d'inscription
mardi 14 mars 2006
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
2 564 >
Messages postés
55
Date d'inscription
vendredi 31 mars 2006
Statut
Membre
Dernière intervention
20 octobre 2006

Ola senior,

lit ceci tu comprendra miexu pourquoi tu ne peux y acceder

Alors ceci; C:\System Volume Information\_restore" indique que ta restauration du systeme etait infecté ou est infecté, pour être sûr, nous allons créer un point propre.

Clic sur "demarrer", cliques droit sur "poste de travail", "propriétés", onglet "restauration du systeme"

¤ coches la case "desactiver la Restauration du systéme sur tous les lecteurs", puis clic ur "appliquer"
¤ decoches la case et clic sur "appliquer" puis "ok".

Maintenant, que l'ont à effacés les point infectés, nous allons créer un point propre:

Clic sur "demarrer", "tous les programmes", "accessoires", "outils système", "restauration du système", choisis "créer un point de restauration" nommes le " ccm" par exemple, cliques sur "créer" puis "ok".
Voilà, maintenant le point de restauration est créer si un jour tu décides tu pourra revenir en arriere à la date que tu l'as créer donc à ce jour; en fesant la marche arriére tu pourra remettre ton ordinateur à la date ou l'on à créer ce point de restauration mais tu perdra les modifications que tu aura faites entre deux.
Messages postés
55
Date d'inscription
vendredi 31 mars 2006
Statut
Membre
Dernière intervention
20 octobre 2006
3 >
Messages postés
22963
Date d'inscription
mardi 14 mars 2006
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016

salut boulepate!!!
vraiment bravo pour ta perspicacité, j'ai effectue la restauration comme tu me la indiquer..
mais pour mieux comprendre cela veut dire que quand je coche "desactiver la restauration du systeme", tout les fichier de "systeme volume information" s'efface et quand je la decoche un nouveau dossier est creer se que je fai moi meme comme tu l'indique (ex: ccm) par contre quand jai desactiver sa a bien buger et le programme ne repondai plus mais a bien ete effectuer...
merci pour tout et a bientot peut etre (se que je n'espere pas) ;-))
Messages postés
22963
Date d'inscription
mardi 14 mars 2006
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
2 564 >
Messages postés
55
Date d'inscription
vendredi 31 mars 2006
Statut
Membre
Dernière intervention
20 octobre 2006

Salut Arkax,

t'as tout compris pour la restau ;-)


N'oublie pas d'installer un pare-feu pour etre encore plus protégé et n'oublie pas de desactiver celui de Windows

Kerio: (pare-feu, qui reste gratuit après la periode d'essai de 21 jours!)
Kerio Personal Firewall
-tutorial: pour configurer et comprendre l'utilisation de Kerio
https://www.vulgarisation-informatique.com/kerio.php


A++