[Virus] trojan web et prog ploqués

Résolu
erikoo Messages postés 60 Statut Membre -  
Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   -
bonsoir à tous,

J ai un packard bell derniere genération qui a moins d une semaine et j ai du attraper un virus je ne sais que faire. J ai installé antivir a la premiere utilisation et depuis j ai eu une 10zaine de rappels sur le meme trojan : 'TR/Obfuscated.BL'.
Je l ai supprimé à chaque fois.
voici les probleme constaté: je n ai plus acces à la plupart des sites web ou alors ils ne s'affichent pas en intégralité, le pc est long dans toutes ces taches, msn messenger ne demarre plus, au demarrage du logiciel money l'erreur suivante apparait dans la fenetre: 'microsoft visual C++ runtime library' : 'run time error! Program: C:\program files\microsoft money\System\msmoney.exe abnormal program termination.

Voici pour l instant les défaults constaté. depuis j'ai téléchargé Spybot S&D j ai nettoyé les fichiers indésirable et rien n'a changé.

Je suis novice, merci de votre aide!
Configuration: Windows XP
Internet Explorer 7.0

50 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un utilisateur signale une infection par TR/Obfuscated.BL sur un PC Packard Bell récent, provoquant des rappels du même Trojan, des lenteurs, des pages web partiellement affichées et une erreur runtime dans Money. Des conseils consistent à supprimer les fichiers infectés et les entrées de registre, en suivant une procédure appelée Option 2 et le rapport de Malekal_morte pour éliminer les traces du trojan. Plusieurs échanges évoquent aussi le recours au formatage comme solution radicale après détection du malware et essais d’outils tels que Spybot S&D, Norton, Avast ou ZoneAlarm sans amélioration évidente. En dernier lieu, certains suggèrent que des outils complémentaires et une réinstallation ciblée des composants concernés (Money, IE, runtime Visual C++) peuvent suffire, sans nécessité systématique d'un formatage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    Télécharge ceci sur ton bureau :

    Lien : hijackthis

    Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm

    Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum.

    ++
    0
  2. erikoo Messages postés 60 Statut Membre
     
    Bonsoir Green day,

    Merci por ton aide je suis désepéré je viens de casser ma tirelire pour m acheter un super pc, il a 1 semaine et plus rien ne marche.
    voici ce que tu m' as demandé:

    Logfile of HijackThis v1.99.1
    Scan saved at 20:32:08, on 10/01/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
    C:\apps\ABoard\ABoard.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\apps\ABoard\AOSD.exe
    c:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\APPS\SMP\SmpSys.exe
    C:\WINDOWS\system32\ctfmon.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
    C:\Program Files\iPod\bin\iPodService.exe
    c:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    c:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Microsoft Money\System\urlmap.exe
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [ATICCC] "c:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [DetectorApp] C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
    O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
    O4 - HKLM\..\Run: [adiras] adiras.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
    O4 - HKLM\..\Run: [BOOT] C:\Program Files\ISSENDIS\ISSENDIS WebUpdate v6\issendiswebupdatev6.exe /BOOT
    O4 - HKLM\..\Run: [32theholeclose] C:\Documents and Settings\All Users\Application Data\forkfilm32the\Acid Close.exe
    O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LessLicense] C:\DOCUME~1\Eric\APPLIC~1\TITLED~1\Surf Shim Settings.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D9932517-3CBF-416B-8BC8-EFD4DFBB08AE}: NameServer = 84.103.237.141 86.64.145.141
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    0
  3. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    re

    Télécharge ceci:

    1)http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)
    2) Dézippe-le (clic droit dessus > extraire tout)
    et lance lopxp.bat

    Copies et colles le rapport ici.

    ++
    0
  4. erikoo Messages postés 60 Statut Membre
     
    voici le 2eme rapport demandé:

    Rapport fait à 20:43:04.09 le 10/01/2007

    Le volume dans le lecteur C s'appelle HDD
    Le num‚ro de s‚rie du volume est 9CC3-E608

    R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

    15/11/2006 22:14 <REP> Macromedia
    15/11/2006 22:08 <REP> You've Got Pictures Screensaver
    15/11/2006 21:56 <REP> ATI
    23/09/2004 19:25 <REP> Identities
    23/09/2004 19:25 62 desktop.ini
    23/09/2004 19:25 <REP> Microsoft
    23/09/2004 19:25 <REP> ..
    23/09/2004 19:25 <REP> .
    1 fichier(s) 62 octets
    7 R‚p(s) 225204948992 octets libres
    Le volume dans le lecteur C s'appelle HDD
    Le num‚ro de s‚rie du volume est 9CC3-E608

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    10/01/2007 00:16 <REP> Spybot - Search & Destroy
    09/01/2007 23:51 3120 118300.34
    09/01/2007 23:30 <REP> TEMP
    09/01/2007 22:20 <REP> Ahead
    09/01/2007 10:08 <REP> forkfilm32the
    08/01/2007 19:50 <REP> Google
    04/01/2007 23:45 <REP> Ciel
    04/01/2007 12:35 <REP> Sony Ericsson
    04/01/2007 01:08 <REP> Windows Genuine Advantage
    04/01/2007 00:43 <REP> Apple Computer
    03/01/2007 21:24 305 addr_file.html
    03/01/2007 21:21 <REP> AntiVir PersonalEdition Classic
    03/01/2007 20:50 <REP> X10 Settings
    03/01/2007 20:41 <REP> Skype
    15/11/2006 22:17 <REP> SmartSound Software Inc
    15/11/2006 22:15 <REP> Ulead Systems
    15/11/2006 22:11 <REP> Symantec
    15/11/2006 22:10 <REP> InstallShield
    15/11/2006 22:08 <REP> Viewpoint
    15/11/2006 22:08 <REP> QuickTime
    15/11/2006 22:07 <REP> AOL
    15/11/2006 22:07 <REP> OD2
    15/11/2006 22:07 <REP> Adobe
    23/09/2004 18:51 62 desktop.ini
    23/09/2004 18:50 <REP> Microsoft
    23/09/2004 18:50 <REP> .
    23/09/2004 18:50 <REP> ..
    3 fichier(s) 3487 octets
    24 R‚p(s) 225204944896 octets libres
    Le volume dans le lecteur C s'appelle HDD
    Le num‚ro de s‚rie du volume est 9CC3-E608

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    03/01/2007 20:36 <REP> Macromedia
    03/01/2007 20:36 <REP> ATI
    03/01/2007 20:36 <REP> Identities
    03/01/2007 20:36 <REP> You've Got Pictures Screensaver
    23/09/2004 18:51 62 desktop.ini
    23/09/2004 18:50 <REP> Microsoft
    23/09/2004 18:50 <REP> ..
    23/09/2004 18:50 <REP> .
    1 fichier(s) 62 octets
    7 R‚p(s) 225204944896 octets libres
    Le volume dans le lecteur C s'appelle HDD
    Le num‚ro de s‚rie du volume est 9CC3-E608

    R‚pertoire de C:\Documents and Settings\Eric\Application Data

    09/01/2007 10:13 <REP> Ahead
    09/01/2007 10:08 <REP> NetPumper
    09/01/2007 10:08 <REP> TitleDupePeak
    09/01/2007 00:17 <REP> Sonic
    09/01/2007 00:15 <REP> Leadertech
    08/01/2007 19:47 <REP> Google
    05/01/2007 00:05 <REP> AdobeUM
    05/01/2007 00:01 <REP> Mozilla
    04/01/2007 23:34 <REP> Ulead Systems
    04/01/2007 10:25 <REP> OD2
    04/01/2007 00:44 <REP> Apple Computer
    04/01/2007 00:39 <REP> DivX
    04/01/2007 00:25 <REP> vlc
    03/01/2007 23:19 <REP> Adobe
    03/01/2007 20:41 <REP> Sun
    03/01/2007 20:41 <REP> Skype
    03/01/2007 20:37 62 desktop.ini
    03/01/2007 20:37 <REP> Identities
    03/01/2007 20:37 <REP> ATI
    03/01/2007 20:37 <REP> Macromedia
    03/01/2007 20:37 <REP> Microsoft
    03/01/2007 20:37 <REP> You've Got Pictures Screensaver
    03/01/2007 20:37 <REP> .
    03/01/2007 20:37 <REP> ..
    1 fichier(s) 62 octets
    23 R‚p(s) 225204940800 octets libres
    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C s'appelle HDD
    Le num‚ro de s‚rie du volume est 9CC3-E608

    R‚pertoire de C:\WINDOWS\Tasks

    09/01/2007 10:08 262 BB63DB179524484F.job
    23/09/2004 19:23 6 SA.DAT
    23/09/2004 19:07 <REP> ..
    23/09/2004 19:07 <REP> .
    23/09/2004 18:10 65 desktop.ini
    3 fichier(s) 333 octets
    2 R‚p(s) 225ÿ204ÿ940ÿ800 octets libres

    ******************************************
    Recherche dans Program files

    Le dossier C:\Program Files\C2Media n'existe pas

    *************** Fin du rapport ****************
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    re

    ok,

    Télécharge clean.zip
    http://www.malekal.com/download/clean.zip
    Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
    Ouvre le dossier Clean qui se trouve sur ton bureau.
    Double-clic sur clean.cmd.
    Une fenêtre noire va apparaître, suis les consignes.
    Poste le rapport qui se trouve ici C:\rapport_clean.txt

    ++
    0
  7. erikoo Messages postés 60 Statut Membre
     
    Re,
    j ai ouvert la fenetre, j ai choisi l'option1 voici le rapport:

    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 1, executee le 10/01/2007 a 21:23:53.07

    *** Recherche de fichiers sur C:

    *** Recherche des fichiers dans C:\WINDOWS\

    *** Recherche des fichiers dans C:\WINDOWS\system32

    "C:\Program Files\netpumper\" FOUND
    *** Fin du rapport !

    J'ai relancé l'option 2 je ne sais pas si j aurai du?
    0
  8. erikoo Messages postés 60 Statut Membre
     
    Re,

    J ai suivi la 2eme consigne, qui consistait a supprimer les fichiers infectés. voici le second rapport:

    cript execute en mode normal
    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 2, executee le 10/01/2007 a 21:34:17.92

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression de fichiers sur C:

    *** Suppression des fichiers dans C:\WINDOWS\

    *** Suppression des fichiers dans C:\WINDOWS\system32

    tentative de suppression de "C:\Program Files\netpumper\"

    *** Suppression des clefs du registre effectuee..
    *** Fin du rapport !

    Merci vraiment de ton aide, c est vraiment du charabia pour moi tous ça!
    0
  9. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    re

    ok :

    1/Telecharger ceci: Clean Up 40:
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    -aide en image:(merci à Balltrap34).
    http://pageperso.aol.fr/balltrap34/democleanup.htm

    Déconnecter d'Internet et fermer tout les programmes en cours.

    # Redémarrer en mode sans échec
    Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.
    (Si F8 ne marche pas, essai F5)

    Rendre visible les fichiers cachés et système
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lancer HijackThis et cliquer sur [Do a system scan only]
    cocher la case au début des lignes suivantes :

    O4 - HKCU\..\Run: [LessLicense] C:\DOCUME~1\Eric\APPLIC~1\TITLED~1\Surf Shim Settings.exe

    O4 - HKLM\..\Run: [32theholeclose] C:\Documents and Settings\All Users\Application Data\forkfilm32the\Acid Close.exe

    valider en cliquant sur le bouton [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Recherche et supprime ces dossiers :

    Supprimer les fichiers en gras suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

    S'ils sont présents, supprime :

    C:\Documents and Settings\All Users\Application Data\forkfilm32the\Acid Close.exe

    C:\Documents and Settings\Eric\Application Data\TitleDupePeak

    _-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite fais Démarrer > exécuter et tape cmd
    puis valide avec ok

    dans la fenêtre qui va s'ouvrir, copie et colle ceci:

    del /a C:\WINDOWS\tasks\262 BB63DB179524484F.job


    et valide en appuyant sur entrée

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite, très important :

    :: Supprimer les fichiers temporaires ::

    Exécute cleanup40.

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Redémarre normalement et reposte un Hijackthis sur le poste…

    @+

    On peut aussi bâtir quelque chose de beau avec les pierres qui entravent le chemin (J.W.VON GOETHE
    )
    0
  10. erikoo Messages postés 60 Statut Membre
     
    re,

    bon alors je crois que j ai fais des mauvaises manip,
    tout allais bien jusqu'à ce que je lance le Hijakthis en scan only,
    la premiere des lignes a décocher:

    O4 - HKCU\..\Run: [LessLicense] C:\DOCUME~1\Eric\APPLIC~1\TITLED~1\Surf Shim Settings.exe

    elle n'était pas la. J ai pourtant regardé un bon nombre de fois.
    J ai tous de meme supprimé la seconde:

    O4 - HKLM\..\Run: [32theholeclose] C:\Documents and Settings\All Users\Application Data\forkfilm32the\Acid Close.exe

    ensuite j ai cliqué sur fixer objet.

    Puis j ai supprimer comme tu m'as dis:

    C:\Documents and Settings\All Users\Application Data\forkfilm32the\Acid Close.exe

    C:\Documents and Settings\Eric\Application Data\TitleDupePeak

    Le probleme c est la derniere ligne a copier dans la fenetre en noir apres executer. Je n'ai pas mis la bonne je pense j ai du mettre des 'espace' ou il n'en fallais pas. la connection internet ne fonctionnait pas en mode sans echec (est ce normal?), j avais noté sur papier cette ligne mais avec une erreur donc ça n'a pas fonctionné.
    je suis sorti de cette fenetre, j ai voulu voir pour la derniere manip que tu me demandais mais la pas de cleanup40, je l avais mis sur le bureau mais il n y été plus d'ailleurs il n y avait plus grand choseq sur le bureau mais bon ça tu dois le savoir.
    Voila donc j ai redemmarer en mode normal et me revoila

    désolé pour mon incompétence que dois je faire maintenant? merci
    0
  11. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    re

    oui, c'est normal pour le mode sans echec ...

    à partir d'ici :

    Ensuite fais Démarrer > exécuter et tape cmd
    puis valide avec ok
    ....

    fais le en mode normal

    ++
    0
  12. erikoo Messages postés 60 Statut Membre
     
    re,

    lorsque je valide le message suivant s'affiche:

    Impossible de trouver C:\WINDOWS\tasks\262

    Impossible de trouver C:\Documents and Settings\Eric\BBDB7952448F.job
    0
  13. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    re

    il faut taper toute la commande !!!

    del /a C:\WINDOWS\tasks\262 BB63DB179524484F.job

    ++
    0
  14. erikoo Messages postés 60 Statut Membre
     
    re,

    Je te promet que c'est ce que je fais, que ça soit en la tapant ou en la copiant, il me repète l'erreur ci dessus
    0
  15. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    ok ;-)

    relance lopxp.bat

    Copies et colles le rapport ici.
    0
  16. erikoo Messages postés 60 Statut Membre
     
    et voila le lopxp ;-)

    Rapport fait à 23:55:33.92 le 10/01/2007

    Le volume dans le lecteur C s'appelle HDD
    Le num‚ro de s‚rie du volume est 9CC3-E608

    R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

    15/11/2006 22:14 <REP> Macromedia
    15/11/2006 22:08 <REP> You've Got Pictures Screensaver
    15/11/2006 21:56 <REP> ATI
    23/09/2004 19:25 <REP> Identities
    23/09/2004 19:25 62 desktop.ini
    23/09/2004 19:25 <REP> Microsoft
    23/09/2004 19:25 <REP> ..
    23/09/2004 19:25 <REP> .
    1 fichier(s) 62 octets
    7 R‚p(s) 226677485568 octets libres
    Le volume dans le lecteur C s'appelle HDD
    Le num‚ro de s‚rie du volume est 9CC3-E608

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    10/01/2007 00:16 <REP> Spybot - Search & Destroy
    09/01/2007 23:51 3120 118300.34
    09/01/2007 23:30 <REP> TEMP
    09/01/2007 22:20 <REP> Ahead
    08/01/2007 19:50 <REP> Google
    04/01/2007 23:45 <REP> Ciel
    04/01/2007 12:35 <REP> Sony Ericsson
    04/01/2007 01:08 <REP> Windows Genuine Advantage
    04/01/2007 00:43 <REP> Apple Computer
    03/01/2007 21:24 305 addr_file.html
    03/01/2007 21:21 <REP> AntiVir PersonalEdition Classic
    03/01/2007 20:50 <REP> X10 Settings
    03/01/2007 20:41 <REP> Skype
    15/11/2006 22:17 <REP> SmartSound Software Inc
    15/11/2006 22:15 <REP> Ulead Systems
    15/11/2006 22:11 <REP> Symantec
    15/11/2006 22:10 <REP> InstallShield
    15/11/2006 22:08 <REP> Viewpoint
    15/11/2006 22:08 <REP> QuickTime
    15/11/2006 22:07 <REP> AOL
    15/11/2006 22:07 <REP> OD2
    15/11/2006 22:07 <REP> Adobe
    23/09/2004 18:51 62 desktop.ini
    23/09/2004 18:50 <REP> Microsoft
    23/09/2004 18:50 <REP> .
    23/09/2004 18:50 <REP> ..
    3 fichier(s) 3487 octets
    23 R‚p(s) 226677481472 octets libres
    Le volume dans le lecteur C s'appelle HDD
    Le num‚ro de s‚rie du volume est 9CC3-E608

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    03/01/2007 20:36 <REP> Macromedia
    03/01/2007 20:36 <REP> ATI
    03/01/2007 20:36 <REP> Identities
    03/01/2007 20:36 <REP> You've Got Pictures Screensaver
    23/09/2004 18:51 62 desktop.ini
    23/09/2004 18:50 <REP> Microsoft
    23/09/2004 18:50 <REP> ..
    23/09/2004 18:50 <REP> .
    1 fichier(s) 62 octets
    7 R‚p(s) 226677481472 octets libres
    Le volume dans le lecteur C s'appelle HDD
    Le num‚ro de s‚rie du volume est 9CC3-E608

    R‚pertoire de C:\Documents and Settings\Eric\Application Data

    09/01/2007 10:13 <REP> Ahead
    09/01/2007 10:08 <REP> NetPumper
    09/01/2007 00:17 <REP> Sonic
    09/01/2007 00:15 <REP> Leadertech
    08/01/2007 19:47 <REP> Google
    05/01/2007 00:05 <REP> AdobeUM
    05/01/2007 00:01 <REP> Mozilla
    04/01/2007 23:34 <REP> Ulead Systems
    04/01/2007 10:25 <REP> OD2
    04/01/2007 00:44 <REP> Apple Computer
    04/01/2007 00:39 <REP> DivX
    04/01/2007 00:25 <REP> vlc
    03/01/2007 23:19 <REP> Adobe
    03/01/2007 20:41 <REP> Sun
    03/01/2007 20:41 <REP> Skype
    03/01/2007 20:37 62 desktop.ini
    03/01/2007 20:37 <REP> Identities
    03/01/2007 20:37 <REP> ATI
    03/01/2007 20:37 <REP> Macromedia
    03/01/2007 20:37 <REP> Microsoft
    03/01/2007 20:37 <REP> You've Got Pictures Screensaver
    03/01/2007 20:37 <REP> .
    03/01/2007 20:37 <REP> ..
    1 fichier(s) 62 octets
    22 R‚p(s) 226677477376 octets libres
    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C s'appelle HDD
    Le num‚ro de s‚rie du volume est 9CC3-E608

    R‚pertoire de C:\WINDOWS\Tasks

    09/01/2007 10:08 262 BB63DB179524484F.job
    23/09/2004 19:23 6 SA.DAT
    23/09/2004 19:07 <REP> ..
    23/09/2004 19:07 <REP> .
    23/09/2004 18:10 65 desktop.ini
    3 fichier(s) 333 octets
    2 R‚p(s) 226ÿ677ÿ477ÿ376 octets libres

    ******************************************
    Recherche dans Program files

    Le dossier C:\Program Files\C2Media n'existe pas

    *************** Fin du rapport ****************
    0
  17. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    re

    ok, peut être un soucis avec la commande ?! ...

    cherche et supprime le fichier en gras si present :

    C:\WINDOWS\tasks\262 BB63DB179524484F.job

    ensuite, fais le 1/ et 2/ de ce lien ( pour demain ;-) )

    virus methode preliminaire de desinfection version fr

    @+
    0
  18. erikoo Messages postés 60 Statut Membre
     
    ok merci
    bonne nuit a demain
    0
  19. erikoo Messages postés 60 Statut Membre
     
    re,

    l assistant de recherche n'affiche plus rien.
    lorsque je vais directement dans dans windows puis tasks, il n'y a qu un fichier appellé 'Création d'une tache planifiée' (avec une horloge?) et rien d'autre, meme en affichant les fichiers cachés ou fichier systeme je ne vois pas le fichier 262 BB63DB179524484F.job
    0
  20. Séb08 Messages postés 18169 Date d'inscription   Statut Contributeur Dernière intervention   1 430
     
    Slt vous 2,

    On n'aurait pas le même client !

    infecte par un trojan

    si c'est le cas merci de rester sur 1 seul post je fais fermer le miens.

    A+
    0
  21. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    oups !

    je ne sais pas :/

    bonne question ...

    ++
    0
  • 1
  • 2
  • 3