parano ? Fermé

Question

Bonsoir,

Fiefox, Zonealarm, Kaspersky (en demo 30 jours), adware, window defender, scan online trend micro et pourtant ...
...Je soupçonne un truc louche. Pourquoi ? parce que l'ordi (ss XP pro pack 2) se coupe pour redémarrer tout seul comme un grand. Le hasard (?) veut que cela se passe alors que bicomet tourne (personne n'est parfait). J'ai bien pensé à un petit rigolo qui se connecte sans que je le sache, mais cela me paraît assez improbable.

Apparemment Kaspersky a détecté des choses (cf rapport ci-dessous), et m'a permis de virer des choses mais qui reviennent ,comme xydll.dll.

anti spy de yahoo me trouve bopninja, classé password capture. et je supprime, sans efficacité.

Au fait j'ai eu sur ma machine tvants. et je me demande si ce n'est pas ça qui m'a foutu la M...

je m'adresse donc à la communauté spécialiste pour un gros coup de pouce. ci-dessous rapport kaspersky et un rapport hijack.

Rv

Rapport kaspersky :
Infected: Trojan program Trojan-PSW.Win32.Nilage.avu	c:\windows\system32\xydll.dll	38 KB
Infected: Trojan program Trojan-PSW.Win32.Nilage.awd	c:\windows\svch0st.exe	45.9 KB
Infected: Trojan program Backdoor.Win32.Agent.air	c:\windows\xye1.exe	54 KB
Infected: Trojan program Trojan-PSW.Win32.Nilage.ayd	c:\documents and settings\sopelest\.housecall6.6\quarantine\wint.exe.bac_a02616	88 KB
Infected: Trojan program Trojan-PSW.Win32.OnLineGames.cp	c:\documents and settings\sopelest\.housecall6.6\quarantine\ids.exe.bac_a02616	102.7 KB
Infected: Trojan program Trojan-PSW.Win32.Nilage.atz	c:\documents and settingsv\.housecall6.6\quarantine\dc1.dll.bac_a02584	39 KB
Infected: Trojan program Trojan-PSW.Win32.Gamec.bw	SVHOST32.EXE\svhost32.exe	196 KB
Infected: Trojan program Trojan-PSW.Win32.Nilage.awd	svch0st.exe\svch0st.exe	120 KB
Possibly infected: riskware Trojan.generic	C:\WINDOWS\ExERoute.exe	35.9 KB
Infected: Trojan program Trojan-PSW.Win32.OnLineGames.bn	C:\DOCUME~1\sopelest\LOCALS~1\Temp\9st.sys	21 KB
Infected: Trojan program Trojan-PSW.Win32.OnLineGames.bn	C:\DOCUME~1v\LOCALS~1\Temp\c8e6.sys	21 KB
Infected: riskware not-a-virus:RiskTool.Win32.Reboot.f	C:\Documents and Settings\sopelest\Bureau\outilPC\smitfraud\SmitfraudFix\Reboot.exe	24 KB
Infected: Trojan program Trojan-PSW.Win32.OnLineGames.bn	C:\DOCUME~1v\LOCALS~1\Temp\f.sys	21 KB
Infected: Trojan program Trojan-PSW.Win32.OnLineGames.bn	C:\DOCUME~1\sopelest\LOCALS~1\Temp\khf.sys	21 KB
Infected: Trojan program Trojan-PSW.Win32.OnLineGames.bn	C:\DOCUME~1\sopelest\LOCALS~1\Temp\38kul.sys	21 KB
Infected: Trojan program Trojan-PSW.Win32.OnLineGames.bn	C:\DOCUME~1\sopelest\LOCALS~1\Temp\d0ukl.sys	21 KB
Infected: Trojan program Trojan-PSW.Win32.OnLineGames.bn	C:\DOCUME~1v\LOCALS~1\Temp\ij6w.sys	21 KB
Infected: Trojan program Trojan-PSW.Win32.OnLineGames.bn	C:\DOCUME~1\sopelest\LOCALS~1\Temp\10.sys	21 KB

Rapport Hijack
Logfile of HijackThis v1.99.1
Scan saved at 21:09:08, on 12/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Progra~1\ASUS\WLAN Card Utilities\Center.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\Hsfpwcfg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\BitComet\BitComet.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\sopelest\Bureau	emporaire\outilPC\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://accountservices.passport.net/reg.srf?xpwiz=true&lc=1036&fid=RegXPWizCredOnly
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [xy] C:\WINDOWS\Download\svhost32.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Hsfpwcfg.exe] C:\WINDOWS\Hsfpwcfg.exe
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Control Center] C:\Progra~1\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Program Files\Octoshape Streaming Servicesv\launcher.exe" -inv:bootrun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: ASUS ChkMail.lnk = C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - https://www3.cai.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://drivers1.free.fr/telecharger.php?id=2&version=
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F82B1DE-FB8F-4E55-BF58-B5565BCFB833}: NameServer = 217.19.192.131 217.19.192.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: offline-8876480 - {0EBFF24E-2950-480D-8AEB-99A16AE7A19F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

Lyonnais92 · Answer

Bonsoir,

1) Va sur ce site, télécharge l'outil d'éradication de symantec et exécute le.

https://www.broadcom.com/support/security-center

2) Va sur ce lien. Télécharge AVG ntispy, configure le comme exposé et exécute le. Tu posteras le rapport dans ta réponse;
https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/

3) Mêeme chose avec spybot & destroy :
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/

Tu exécutes et tu vaccines.

4) remets un log hijackThis.

@+

Lmao · Answer

scana vec hijackthis coche ces ligne ensuite redemare en mode sans echec et delete les . ceu que Kaspersky a trouver meme chose sans echec et suprime les manuelement
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install 
Run: [SoundMan] SOUNDMAN.EXE 
O4 - HKLM\..\Run: [Hsfpwcfg.exe] C:\WINDOWS\Hsfpwcfg.exe 
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://accountservices.passport.net/reg.srf?xpwiz=true&lc=1036&fid=RegXPWizCredOnly 
C:\WINDOWS\ATK0100\HControl.exe 
C:\WINDOWS\ATK0100\ATKOSD.exe

Lyonnais92 · Answer

RV,

à ce stade, il n'y a aucune raison de considérer comme dangereux l'une quelconque des lignes signalées par lmao.

On discutera de leur utilité, pas de leur légitimité.

Par contre,   C:\WINDOWS\WINLOGON.EXE est clairement identifié comme nocif et rien dans les propositions de lmao ne vise à l'éradiquer (ce qui est le but du fix de symantec, point 1 de mon post).

lmao, je ne te reproche pas de vouloir aider, encore faut il savoir faire. La première étape, c'est de t'inscrire.

@+

Lyonnais92 · Answer

Bonjour,

1) Rends toi sur ce site et télécharge puis exécute l'outil.

Ce que tu cherches à éliminer, c'est Netsky et Rbot.

2) Relance AVg antispy.

Il faut que tu choisisses quarantaine comme action en fin de scan (et non pas ne rien faire comme actuellement) et que tu appliques les actions en fin de scan. Tu dois voir mis en quarantaine dans le rapport.

3) Tu remets un log HijackThis.
@+

Lyonnais92 · Answer

Re,

j'avais stupidement oublié un lien  !:
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356

qui correspondait au début du post 7 

Tu exécutes et tu remets un log Hijack.
Je regarderai seulement ce soir le résultat.
@+

@+

Lyonnais92 · Answer

Re,
pas vraiment.


On va attaquer autrement.

Tu vas sur ce lien, tu télécharges ccleanetr et tu regardes le tuto.
https://www.malekal.com/tutoriel-ccleaner/

La suite de la maneuvre en mode sans écvhec, sans accès au NET, donc tu imprimes ou tu copies les maneuvres.

Tu démarres en mode sans échec.

Tu relances HijackThis en mode do a scan only

Tu coches la case devant les lignes :
F2 - REG:system.ini: Shell=Explorer.exe 1
O4 - HKLM\..\Run: [xy] C:\WINDOWS\Download\svhost32.exe 
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - Startup: Raccourci vers Bureau sur 'Serveurnt' (S).lnk = ? 

Tu fermes toutes els fenêtres autre que celel d'HIJACKtHIS;

Tu cliques sur fix checked.

Tu fermes HijackThis.

Par l'explorateur windows, tu cherches :

C:\WINDOWS\WINLOGON.EXE

puis
C:\WINDOWS\Download\svhost32.exe 
et tu les supprimes tous les 2

Tu vides la quarantaine d'AVG,

tu lances ccleaner nettoyage (chercher puis nettoyer)

tu lances Ccleaner erreurs chercher puis réparer.

tu vides la corbeille

tu redémarres en mode normal

Tu fais ce scan en ligne avec IE (tu devras accepter l'active X)

https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr ou (si le lien ne marche pas )

https://www.kaspersky.fr/downloads

Tu postes le log du scane en ligne

tu remets un log HijackThis

Et tu me dis comment ça se passe.

@+

Lyonnais92 · Answer

Bonjour,

C'est ce que me dit google. par exemple :

http://www.sophos.fr/security/analyses/trojwowpwsaj.html

Pour en être bien sur, va sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html

clique sur parcourir, recherche C:\WINDOWS\Download\svhost32.exe puis clique sur send.

Un rapport va s'écrire ligne à ligne. Copie le dans le bloc note et poste le dans ta réponse. Je pense que, sur certaines lignes, tu vas voir ça : Troj/WowPWS-AJ  ou quelque chose d'approchant. Si c'est le cas, le fichier est bien nocif.

Pourquoi son absence t'empêche d'accéder à ton réseau est un autre problème (même si il faut le régler aussi).
@+

rv · Answer

Non effectivement le fait de perdre la liaison avec le seveur est effectivement indep. j'en ai fait le constat ce matin.

Intéressant le site de super scan : voici d'ailleurs l'état le rapport. effectivement il n'est pas clair.
les info sur sophos indiquent clairement des dll que je trouve sur mon disque.

je vais faire les manip en mode ss échec et je poste le rapport hijack.

A+

Complete scanning result of "svhost32.exe", received in VirusTotal at 12.14.2006, 12:42:25 (CET).

Antivirus	Version	Update	Result
AntiVir	7.3.0.15	12.14.2006	TR/Crypt.NSPM.Gen
Authentium	4.93.8	12.13.2006	Possibly a new variant of W32/PWStealer.gen1
Avast	4.7.892.0	12.14.2006	no virus found
AVG	386	12.13.2006	no virus found
BitDefender	7.2	12.14.2006	no virus found
CAT-QuickHeal	8.00	12.13.2006	(Suspicious) - DNAScan
ClamAV	devel-20060426	12.14.2006	no virus found
DrWeb	4.33	12.14.2006	Trojan.PWS.Lineage
eSafe	7.0.14.0	12.14.2006	suspicious Trojan/Worm
eTrust-InoculateIT	23.73.85	12.14.2006	no virus found
eTrust-Vet	30.3.3248	12.13.2006	no virus found
Ewido	4.0	12.14.2006	no virus found
Fortinet	2.82.0.0	12.14.2006	suspicious
F-Prot	3.16f	12.13.2006	Possibly a new variant of W32/PWStealer.gen1
F-Prot4	4.2.1.29	12.13.2006	W32/PWStealer.gen1
Ikarus	T3.1.0.26	12.14.2006	no virus found
Kaspersky	4.0.2.24	12.14.2006	no virus found
McAfee.13.2006	no virus found
Microsoft	1.1804	12.14.2006	no virus found
NOD32v2.14.2006	Win32/PSW.Lineage.DN
Norman	5.80.02	12.13.2006	no virus found
Panda	9.0.0.4	12.13.2006	Suspicious file
Prevx1	V2	12.14.2006	Covert.Sys.Exec
Sophos	4.12.0	12.14.2006	Mal/Packer
Sunbelt	2.2.907.0	11.30.2006	no virus found
TheHacker	6.0.3.131	12.10.2006	no virus found
UNA	1.83	12.13.2006	no virus found
VBA32	3.11.1	12.13.2006	MalwareScope.Worm.Viking.5
VirusBuster	4.3.15:9	12.13.2006	no virus found

Aditional Information
File size: 93103 bytes
MD5: ee4651445a8d03835a64e16413d5dc1d
SHA1: e484b55a8d680eedb84a80cc136c68e2f1598dae
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=9aca56610925

Lyonnais92 · Answer

Re,

je n'avais pas beaucoup de doutes sur sa nocivité.

En plus, le fait que seulement certains antivirus le décèle est normal : ce n'est pas un virus au sens classique du terme. La conséquence est que les antivirus peuvent le déceler, si leur moteur de recherche est assez performant. Mais ils ne peuvent pas l'éradiquer.

Reviens me voir après avoir fait les manips du post 11.
@+

Lyonnais92 · Answer

Re,

Tu parles de la F2 et de la 04 Winlogon ?

Pour celle-ci, c'est normal. 

C'est un peu ma faute. Il ne faut pas toucher à c:\windows\system32\winlogon.exe qui est légitime.

Mais il faut exterminer C:\WINDOWS\WINLOGON.EXE .

Utiliser un nom "proche" d'un nom légitime est une ruse bien connue.

Donc , tu refixes les 2 lignes par HijackThis et tu détruis le fichier (en mode sans échec si nécessaire).

Tu redémarres et tu postes un nouveau log HijackThis.

Si ça revient, il va falloir que je réfléchisse lol.

En fait j'ai non pas réfléchi mais relu le post.

Affiche les fichiers et dossiers systèmes et les dossiers et fichiers cachés (et les extensions même quand elles sont connues). Démarrer, explorer, outils, options des dossiers affichages. Et fais les manips proposées. Si ça résiste, on se tournera vers les outils anti-rootkits.
@+

Lyonnais92 · Answer

Re, A la première occasion, remets en route la restauration système. Cette histoire de fichier caché, je déteste. Normalement, tu devrais le voir avec l'explorateur, en suivant le chemin C:\Windows (ou C:\WINDOWS). Tu as bien affiché les fichiers et les dossiers cachés ? Tu vides le dossier prefetch (sauf layout.ini). On va explorer les rootkits. Télécharge Blacklight(de F-Secure) : < https://www.f-secure.com/en > et sauvegarde le sur ton Bureau Tu as la un tuto de Malekal : < https://www.malekal.com/tutorial-f-secure-blacklight/ > Suis le Tuto sur la partie scan et édition d'un rapport. Tu postes le rapport (tu n'utilises pas encore la fonction Clean). @+

rv · Answer

j'ai fait petit joueur : j'ai trouvé le winlogon.exe ds rep windows ... aprs avoir modif les conditions d'affichage ds l'explorateur.

J'ai scanné ce fichier sur virus total histoire d'en apprendre plus. Ci-dessus le rapport.

Le winlogon trouvé, je reprends la procédure de sup et complète par la black list

Complete scanning result of "WINLOGON.EXE", received in VirusTotal at 12.14.2006, 20:21:43 (CET).

Antivirus	Version	Update	Result
AntiVir	7.3.0.15	12.14.2006	no virus found
Authentium	4.93.8	12.14.2006	Possibly a new variant of W32/Suspicious:VisualBasicMalware!Maximus
Avast	4.7.892.0	12.14.2006	no virus found
AVG	386	12.13.2006	PSW.Generic2.SZY
BitDefender	7.2	12.14.2006	no virus found
CAT-QuickHeal	8.00	12.14.2006	(Suspicious) - DNAScan
ClamAV	devel-20060426	12.14.2006	no virus found
DrWeb	4.33	12.14.2006	BackDoor.Generic.1471
eSafe	7.0.14.0	12.14.2006	suspicious Trojan/Worm
eTrust-InoculateIT	23.73.85	12.14.2006	no virus found
eTrust-Vet	30.3.3251	12.14.2006	no virus found
Ewido	4.0	12.14.2006	no virus found
Fortinet	2.82.0.0	12.14.2006	Spy/WOWSTEAL
F-Prot	3.16f	12.14.2006	Possibly a new variant of W32/Suspicious:VisualBasicMalware!Maximus
F-Prot4	4.2.1.29	12.14.2006	W32/Suspicious:VisualBasicMalware!Maximus
Ikarus	T3.1.0.26	12.14.2006	Backdoor.Win32.PcClient.GV
Kaspersky	4.0.2.24	12.14.2006	no virus found
McAfee	4919	12.14.2006	no virus found
Microsoft	1.1804	12.14.2006	PWS:Win32/Wowsteal.gen!A
NOD32v2	1921	12.14.2006	a variant of Win32/PSW.Legendmir
Norman	5.80.02	12.14.2006	no virus found
Panda	9.0.0.4	12.13.2006	Suspicious file
Prevx1	V2	12.14.2006	Trojan.SystemPoser
Sophos	4.12.0	12.14.2006	Mal/Packer
Sunbelt	2.2.907.0	11.30.2006	no virus found
TheHacker	6.0.3.132	12.14.2006	no virus found
UNA	1.83	12.14.2006	no virus found
VBA32	3.11.1	12.14.2006	BackDoor.Generic.1471
VirusBuster	4.3.19:9	12.14.2006	novirus:Packed/NSPack

rv · Answer

winlogon illégitime est un véritable phoenix. En mode ss echec aprs hijack, je le vire.  je relance la machine en mode normal. et qui je rtrouve ds rep windows ? si si. Cette merde !

Ben là je suis baba. D'après blacklight il tourne et ju'aobtiens un détail intéressant : chine (j'ai évoqué plus haut avoir mis un jour d'inconsceience tvants, logiciel de P2P dédié au stream video) et 88. J'ai un 88.exe de référencer ds le firewall mais qui ne peut théoriquement s'exprimer.

ci joint le résultat de blacklight

12/14/06 20:32:30 [Info]: BlackLight Engine 1.0.47 initialized
12/14/06 20:32:30 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/14/06 20:32:30 [Note]: 7019 4
12/14/06 20:32:30 [Note]: 7005 0
12/14/06 20:32:34 [Note]: 7006 0
12/14/06 20:32:34 [Note]:/14/06 20:32:34 [Note]: 7026 0
12/14/06 20:32:34 [Note]: 7026 0
12/14/06 20:32:40 [Note]: FSRAW library version 1.7.1020
12/14/06 20:33:11 [Note]:/14/06 20:34:03 [Note]: 7007 0

Lyonnais92 · Answer

Re,

on essaye comme ça :

ouvre hijackthis, choisis open the misc tool section et delete a file on reboot. Cherche C:\WINDOWS\WINLOGON.EXE puis clique sur ouvrir et redémarre;

Il n'est pas mort :

désactive la restauration système, démarre en mode sans échec.

Nettoie avec ccleaner (ne décoche que avancé et saisie automatique)

fixe la ligne 04 de Winlogon et le F2

Vide les quarantaine etla corbeille

relance Hijackthis en open misc tool section et delete file on reboot.

continue la procédure pour éliminer le fichier.

Redémarre.

Remets ta restauration système.

Résultat ? Je suis sceptique.

@+

Lyonnais92 · Answer

Re,

A2square l'a éradiqué ?

Si oui, tu remets un log hijackthis
@+

rv · Answer

non je ne pense pas que A2square l'ait éradiquer, puisque j'ai retrouvé pour hijack mode misc lors du premier assault. restua desacivée et en mode sans échec j'ai fait ccleaner puis misc, vide corbeille et quarantaine. et me revoilà mais ss réussite apparemment.

Je suis perplexe devant ce truc, et le sommeil me gagne.

Merci pour l'aide en tt cas. je ne sais pas si ns faisons face à un cas d'école ??


Logfile of HijackThis v1.99.1
Scan saved at 23:48:35, on 14/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\Hsfpwcfg.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Progra~1\ASUS\WLAN Card Utilities\Center.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\WINDOWS\system32
tvdm.exe
C:\OLIFAXVX\TOOLBAR.EXE
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\sopelest\Bureau	emporaire\outilPC\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Hsfpwcfg.exe] C:\WINDOWS\Hsfpwcfg.exe
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Control Center] C:\Progra~1\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - Startup: Moniteur Fax-Voix.lnk = C:\OLIFAXVX\MONITEUR.EXE
O4 - Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: ASUS ChkMail.lnk = C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - https://www3.cai.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://drivers1.free.fr/telecharger.php?id=2&version=
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F82B1DE-FB8F-4E55-BF58-B5565BCFB833}: NameServer = 217.19.192.131 217.19.192.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: offline-8876480 - {0EBFF24E-2950-480D-8AEB-99A16AE7A19F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

Lyonnais92 · Answer

Re,

Un outil un peu plus puissant :

telecharger the killbox
 https://www.generation-nt.com/killbox-telechargement-25430.html 

redemare en mode sans echec 
Double clic sur killbox.exe (Pocket Killbox) 

- Dans "Full Path of File to Delete" 
copie et colle: 

C:\WINDOWS\WINLOGON.EXE



-clique sur single file 
- clique sur la croix rouge 
- une fenêtre va apparaître pour confirmation clique sur YES 


Tu redémarres.

Si cela n'a pas marché, on va se coucher.

@+

rv · Answer

Je viens de refaire A2square qui apparemment "fix" les traces mais pas le fichier
et voici hijack effectué juste aprs le fix via A2square

A ttes fins utiles
http://www.sophos.fr/security/analyses/trojkillavd.html

PS : j'ai noté que lorsque je tente de virer ce winlogon parfois me refuse accès. de plus les propriétés du fichier sont versatiles : parfois fichier caché, ou archive ...


Logfile of HijackThis v1.99.1
Scan saved at 00:04:56, on 15/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\Hsfpwcfg.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Progra~1\ASUS\WLAN Card Utilities\Center.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
C:\WINDOWS\system32
tvdm.exe
C:\OLIFAXVX\TOOLBAR.EXE
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\sopelest\Bureau	emporaire\outilPC\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Hsfpwcfg.exe] C:\WINDOWS\Hsfpwcfg.exe
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Control Center] C:\Progra~1\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - Startup: Moniteur Fax-Voix.lnk = C:\OLIFAXVX\MONITEUR.EXE
O4 - Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: ASUS ChkMail.lnk = C:\Program Files\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesfr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - https://www3.cai.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://drivers1.free.fr/telecharger.php?id=2&version=
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F82B1DE-FB8F-4E55-BF58-B5565BCFB833}: NameServer = 217.19.192.131 217.19.192.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: offline-8876480 - {0EBFF24E-2950-480D-8AEB-99A16AE7A19F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

Lyonnais92 · Answer

Bonjour,

Peux tu aller, par l'explorateur,voir ce qu'il y a dans C:\Windows	asks.

Pour chaque ligne (autre que Créer une tâche planifiée), clic droit et propriétés. Ce qui s'exécute est il en rapport avec Winlogon ?

@+

Lyonnais92 · Answer

Bonjour,

Je vais élargir un peu ma demande précédente, mais je garde la même idée (recherche une tâche planifiée qui s'exécute à chaque reboot pour régénérer ce WINLOGON.exe).

Fais rechercher, dans poste de travail, de *.job (tu tapes exactement *.job dans la zone de recherche).

Ca va te donner la liste des tâches planifiées (+ le planificateur de tâches que tu ignores).

Si tu en as ailleurs que dans C:\Windows	asks, tu les vérifies une à une (clic droit sur propriétés pour savoir ce qui s'exécute).

Tu me donnes le résultat.
@+

Lyonnais92 · Answer

Re,

A force de chercher, j'ai trouvé quelque chose qui m'avait échappé.
Plus exactement, je n'avais pas assez fouillé ce qu'il y avait derrière la F2 et sa référence à Explorer.exe.

C'est très probablement un illégitime.

Tu retournes sur virustotal (poste 13)
Tu cliques sur parcourir et tu recherches 
C:\WINDOWS\Windows32\Explorer.exe 
tu cliques sur send et tu attends le rapport

C'est l'illégitime ( Le bon est C:\WINDOWS\Explorer.exe ).

Tu postes le rapport.
@+
PS, je me stocke une référence 
https://www.broadcom.com/support/security-center

@+

Lyonnais92 · Answer

Bonjour,

Je crois qu'on le tient !!!

Par des voix très détournées : la signature de ce explorer.com est la même que celel de winlogon.exe, les divers antivirus de Virustotal reconnaissent la même signature virale.

Donc, on supprime explorer.com (en mode sans échec s'il le faut, avec killbox si nécessaire).

Et on réessaye de tuer WINLOGON.exe (idem, mode sans échec et ou killbox s'il le faut).
Désactive la restau système après éradication de explorer.com.

@+

Lyonnais92 · Answer

Re,

effectivement un peu plus long que je ne pensais.

Un peu ennuyeux (keylogger sur les mots de passe).

Il faudra que tu les changes tous quand on en aura fini avec lui.

Est ce que ces fichiers sont présents sur ton ordi  :

2624275
2704248
2916559
2922588
3167966
3201336
3201337
3215124
3227988
3231714
3231985
3231988
3231989
3231990
3246425
aa4.exe

Mais je ne sais pas dans quel répertoire.

Si oui, essaie de les supprimer un à un via l'explorateur.

Une question encore : quels sont les droits sur les 2 fichiers qui nous préoccupent (winlogon et explorer.com) ?

Pour ça, clic droit sur le fichier, puis propriétés puis l'onglet sécurité.

Qui a tout les droits dessus ?

Si tu trouves les fichiers ci-dessus, tu regardes aussi pour un d'eux (et pour le dernier).

Celui là pourrait être le chaînon manquant.
@+

ring0 · Answer

Bonsoir rv,

Deux liens qui pourront peut-être t'aiguiller rv, pour éradiquer cette variante probable de l'infection asiatique avec laquelle ton pc est infecté:
http://www.sophos.com/virusinfo/analyses/trojwowpwsu.html
http://www.sophos.com/virusinfo/analyses/trojwowpwsm.html
Les déclinaisons de ce troyen sont assez multiples, mais la base reste sensiblement toujours plus ou moins la même.
A première vue, il semblerait que Kaspersky ait bloqué son developpement multi-infectieux, ce qui est déjà une bonne chose.

Sur ce... je te laisse continuer entre les mains expertes de "ceux qui savent" pour t'indiquer les outils d'analyse et manipulations requises qui en découlent  afin te debarrasser de cette infection au plus vite.
Si les infos des liens venaient à se confirmer bien entendu.
Dans le cas contraire... désolé pour cette intrusion dans ton message.

Bonne soirée.

Lyonnais92 · Answer

Bonsoir,

J'ai été long, mais je crois avoir mieux compris.

Je reboucle sur ton intuition  bopninja, classé password capture bopninja, classé password capture. Sauf que des bopninja, il y en a plusieurs. Le tien, c'est AE, celui qui est associé à  winlogon.exe. Pour corser, le nom change suivant les antivirus (ce qui se voit dans ce que donne virustotal).

Le problème, c'est de l'éradiquer.

J'ai trouvé une référence, on va l'essayer :
Télécharge ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe 
une fois téléchargé clique dessus le progamme va se lancer. 
une fois lancé clique sur: tous les disques dur 
une fois fini mets tous ce qu'il a trouvé en quarantaine 4eme icone a gauche 
clique sur la petite cible en haut a gauche 
une autre fenetre va s'ouvrir c'est le rapport. 
clique sur /fichier/enregistre , le rapport est enregistre puis post le. 

@+

PS je me garde une référence
https://www.broadcom.com/support/security-center

Lyonnais92 · Answer

Bonsoir,

Désolé, j'ai répondu plus tôt dans la soirée, mais ma réponse s'est perdue dans les plantages du site.

Ma question était de savoir ce que tu avais comme CD de Xp, si tu avais un répertoire i386 sous C:\ et  si tu avais ton numéro de clé.

La base est la commande expand. 

RECUPERATION de la ressource - En Utilisant la commande Expand
Pour décompresser le fichier ressource se trouvant sur le CDRom d'installation, vous pouvez aussi utiliser la commande Expand
a) Inserer le CDRom Windows XP installation dans le lecteur.
b) Cliquer sur Démarrer puis sur Executer (ou appuyer simultanément sur les touches Fenêtre et R
c) Saisir la commande CODEexpand  -r  D:\i386\  C:\WINDOWS\system32
( Cas où C est la partition système et D le lecteur de CDRom dans lequel se trouve le CD d'installation du système.)
(extrait de : https://forum.zebulon.fr/topic/98838-comment-r%C3%A9cup%C3%A9rer-une-ressource-syst%C3%A8me/#entry772868

Les fichiers à extraire du Cd originel sont de la forme xyz.ex_ là où le fichier est xyz.exe. même chose, .dll est .dl_.

Tu cherches le fichier remplaçant (explorateur sur le CD ou i386 si tu l'as) et tu le recopies à la place. Tu vérifies les droits après recopie.

Tu fais un essai sur un fichier avant de généraliser.

J'espère que tu n'en a pas trop.

@+

Lyonnais92 · Answer

Bonjour,

Je ne comprends pas tout ce qui se passe.

Je pensais t'avoir envoyé cette référence :


fichier corrompu ou manquant

Ca ne passe pas par expand mais par une autre commande.

L'idéal serait d'utiliser i386, s'il te laisse faire plutôt que le CD de restauration.
@+

Lyonnais92 · Answer

Bonsoir,

Je ne suis pas totalement convaincu par ta remarque sur le fait que la restauration aurait totalement éradiqué le virus. J'ai déjà lu plusieurs fois "j'ai formatté mais rien à faire, il revient", car il y avait plus eu restauration de Windows que formatage de la partition. Conclusion, il vaut mieux qu'il soit mort avant.

Pour répondre à tes questions :

avast + Kerio (que je préfère à Zone Alarme, mais c'est personnel) pour antivirus et parefeu gratuit. (en payant Kapersky serait mon choix).

AVG antispyware, Spybot search & destroy et Ad aware comme antispy. A mettre à jour et utiliser une fois par semaine (plus souvent si tu es un gros surfeur) et vacciner.

Ccleaner pour nettoyer et cookies, fichiers temporaires, etc et le registre (une fois par semaine) et après chaque désinstallation (surtout sauvage) pour les erreurs de registre.

Firefox (très bien, mais j'utilise pas, à tort) (garder IE pour les mise à jour Windows et les scans en ligne).

Que suis-je ? (en matière informatique s'entend) Un utilisateur à titre professionnel depuis longtemps, plus en programmation (Fortran, PL1, ...) et utilisateur de logiciels ( SAS, bureautique, ..) que "ingénieur système". Un amateur (et récent dans la lutte anti malware) mais avec un environnement performant (voir ici si un jour cela t'intéresse http://entraide.aceboard.fr/index.php?login=175280). C'est là que j'ai appris, continue d'apprendre et trouve de l'aide sur les cas compliqués.

En tout cas, même si la fin a un peu tourné en eau de boudin, ça a été très intéressant de travailler avec toi. En particulier, relis le post 34, c'est toi qui trouve en ne te contentant pas de répondre "non, il n'y est pas' mais en élargissant la recherche à tout fichier bizarre et en le soumettant à virustotal.

@+

Lyonnais92 · Answer

Bonjour, 

L'entraide n'est pas mon forum, j'en suis un membre (récent).

Mais c'est un bon forum pour apprendre.

Pour mon info, la configuration de ton portable est la configuration usine (avec l'OS sur C:, une partition cachée de récupération-restauration et une (ou plusieurs) partition utilisateurs) ou bien c'est toi qui l'a configuré ainsi ?

Je te recroiserai aussi avec plaisir sur tout forum.

Bonne année 2007 à toi.

PS Si tu as une minute, tu coches la case problème résolu. Merci.

Lyonnais92 · Answer

Bonsoir,

Milles excuses, je n'avais pas vu que tu avais ajouté un codicille.

Tu remontes tout en haut de la liste des posts.

Sur la ligne initiale, à coté du titre et de ton pseudo, il y a "Statut non résolu". Tu le changes en "résolu" en cliquant dessus.

@+

Lyonnais92 · Answer

Bonjour,

C'est bien possible. Mais on ne va pas te faire t'inscrire pour marquer que ton problème est résolu. mdr.

Laisse tomber, passe de bonnes fêtes et surfe tranquille.

@+

Parano ?

31 réponses

Discussions similaires