[Virus Trojan] taskmgr qui merde!!!

Insight Messages postés 29 Statut Membre -  
 cephalentera -
Bonjour tous,

Alors depuis ce soir (en tout cas, c'est ce soir que je me suis rendu compte de ce problème) : impossible d'accéder au gestionnaire de taches de XP en faisant CTRL+ALT+SUPP!!
Tout ce qui se passe, c'est la flèche qui devient sablier un très très court instant et rien!!

Après quelques recherches, je vérifies les clés dans gpedit.msc mais rien n'y fait!

Je fais un scan en mode sans échec avec Spybot et Adaware (mis à jour juste vant pour les deux) qui ne me trouvent rien à part des MRU et tracking cookies!!

Pour accéder au gestionnaire des taches, je télécharge "ProcessExplorer". Dans celui-ci, il a le processus "taskmgr" mais dans ses propriétés, son origine vient de C:\Documents and Settings\"mon nom".

Par contre, en allant dans C:\WINDOWS\system32 et cliquant sur taskmgr, j'arrive au gestionnaire des taches!!

De plus, dans "Startup Mechanics", j'ai un item au démarrage se nommant "task" (c'est le seul que je n'avais pas avant) et en cliquant dessus, "Statup Mechanics" me dit que c'est un fichier (qui n'est pas de Windows) se trouvant dans "Windows System 1060" mais impossible de trouver ce dossier 1060!!

J'ai téléchargé AVG anti spyware pour faire une analyse de plus et celui-ci m'a trouvé "Backdoor.Ciadoor.13" mais je ne pense pas que cela ait un rapport avec mon problème.

La seule solution que j'ai trouvé, c'est de supprimer le fichier "taskmgr" dans C:\Documents and Settings\"mon nom" en mode sans échec, mais XP me dit à chaque démarrage qu'il ne trouve pas ce fichier, ce qui est un peu embêtant!
J'ai redémarré plusieurs fois après suppression de ce "taskmgr" dans C:\Documents and Settings\"mon nom" et à part le message à l'ouverture d'XP, j'ai re accès au gestionnaire des tâches en faisant CTRL+ALt+SUPP.

P.S. : comme XP me demandait le fichier taskmgr, j'ai copié celui présent dans C:\Documents and Settings\administrateur dans C:\Documents and Settings\"mon nom" mais le problème revient alors!!

Merci pour votre aide!
Configuration: Windows XP
Maxthon

40 réponses

  • 1
  • 2
Résumé de la discussion

Le problème central est l’impossibilité d’ouvrir le gestionnaire des tâches sous Windows XP via Ctrl+Alt+Suppr, des clignotements de la souris et l’apparition d’un taskmgr déplacé ou manquant suggérant une infection possible. Des vérifications incluent gpedit.msc et des analyses avec Spybot et Ad-aware qui n’identifient que des cookies/MRU, tandis que ProcessExplorer montre que le processus taskmgr provient de C:\Documents and Settings et non de Windows\System32. Des indices évoquent une backdoor (Backdoor.Ciadoor.13) et un taskmgr déplacé; plusieurs réponses recommandent d’examiner les démarrages et d’analyser le disque en mode sans échec pour repérer d’autres traces. Certaines propositions finales indiquent de restaurer ou remplacer taskmgr à partir de C:\Windows\system32 et de supprimer les entrées de démarrage suspectes dans msconfig pour éviter les réapparitions.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    bonsoir,

    télécharge HijackThis:

    http://pchelpbordeaux.free.fr/logiciels.html

    Tutorial:

    http://pchelpbordeaux.free.fr/tuto.html

    Démo en image:

    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    Fais un scan et poste l'analyse.

    a+
    0
    1. cephalentera
       
      Salut,

      J'ai la même merde que Insight, soit TR/Ciador.VB.A.

      Il me dit aussi à chaque démarrage qu'il ne trouve pas le taskmgr de mon nom. Aussi, il contamine mon C:\WINDOWS\Screen Task.scr

      J'avais fais une copie de sauvegarde de mon C avec PowerQuest Drive Image le 19 mars. J'ai donc restauré mon unité C avec mais le trojan est tjs là!!!

      Y a-t-il un moyen de scanner les autres partitions du disque qu'on voit sur le doc Word ci dessous?

      http://www.nosoiseaux.ch/~gdj/partitions.doc

      Merci
      0
  2. Insight Messages postés 29 Statut Membre
     
    C'était ce que j'étais en train de faire!! lol

    Alors voici le scan quand "taskmgr" est présent dans C:\Documents and Settings\"mon nom" :
    Logfile of HijackThis v1.99.1
    Scan saved at 00:50:41, on 21/02/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\DOCUME~1\MUSHU\taskmgr.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\MUSHU\LOCALS~1\Temp\Rar$EX00.219\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypixmania.com/importer/MypixUploader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{74D0F1B7-9ED0-47FD-A8ED-1B68DF0EBB88}: NameServer = 212.27.53.252,212.27.54.252
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8683EE28-B89A-4BCB-A310-4D66F2EC81EC}: NameServer = 212.27.54.252,212.27.32.177
    O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - F:\Player\__CDS2.dll (file missing)
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    
    


    Et quand "taskmgr" est effacé de C:\Documents and Settings\"mon nom" :
    Logfile of HijackThis v1.99.1
    Scan saved at 00:46:56, on 21/02/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Maxthon\Maxthon.exe
    C:\Program Files\IncrediMail\bin\IncMail.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\MUSHU\LOCALS~1\Temp\Rar$EX00.094\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypixmania.com/importer/MypixUploader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{74D0F1B7-9ED0-47FD-A8ED-1B68DF0EBB88}: NameServer = 212.27.53.252,212.27.54.252
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8683EE28-B89A-4BCB-A310-4D66F2EC81EC}: NameServer = 212.27.54.252,212.27.32.177
    O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - F:\Player\__CDS2.dll (file missing)
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    
    


    Merci!! ;)
    0
  3. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau:

    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    Redémarre ton ordinateur
    Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
    Appuie sur Y pour commencer le processus de nettoyage.
    Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    Appuie sur une touche pour redémarrer le PC.
    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

    a+
    0
  4. Insight Messages postés 29 Statut Membre
     
    Tout d'abord, merci pour ton aide Did71!! ;)

    Alors, j'ai fait tout ceci
    Petite précision : en mode sans échec, j'ai le choix entre la session administrateur et ma session( je suis administrateur), et j'ai sélectionné ma session pour faire ce scan. Dis moi si c'est sur la session administrateur (ou le bureau est pratiquement vide) qu'il faut que je le fasse.

    Voici le rapport SDFix :
    SDFix: Version 1.67
    
    Run by MUSHU - 21/02/2007 @  8:48:06,17
    
    Microsoft Windows XP [version 5.1.2600]
    
    Running From: C:\SDFix
    
    Safe Mode:
    Checking Services: 
    
    Name:
    
    Path:
    
    
    Restoring Windows Registry Entries
    Restoring Default Hosts File
    
    
    Rebooting...
    
    Normal Mode:
    Checking Files:
    
    No Trojan Files Found...
    
    
    
    
    ADS Check:
    
    C:\WINDOWS\system32
    No streams found.
    
    
                                     Final Check:
    
    Remaining Services:
    ------------------
    
    
    Authorized Application Key Export:
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="C:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
    
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    
    
    Remaining Files:
    ---------------
    
    
    
    Checking For Files with Hidden Attributes :
    
    C:\Documents and Settings\Administrateur\taskmgr.exe
    C:\Documents and Settings\MUSHU\taskmgr.exe
    
    Add/Remove Programs List:
    
    Ad-Aware SE Personal
    Adobe Photoshop CS2
    avast! Antivirus
    AVG Anti-Spyware 7.5
    BitComet 0.70
    Canon i560
    CCleaner (remove only)
    CD'n'Go! Suite 2.00
    Comptes Bancaires 5.6
    ddali
    DVD Region+CSS Free 5.61
    DVD Shrink 3.2
    DVDFab Express 2.9.7.9
    eMule
    EVEREST Home Edition v2.20
    PPP over Ethernet
    FileZilla (remove only)
    HijackThis 1.99.1
    IncrediMail Xe
    Air USB Utility
    QuickTime
    iTunes
    Correctif Windows XP - KB873339
    Correctif Windows XP - KB885835
    Correctif Windows XP - KB885836
    Correctif Windows XP - KB886185
    Correctif Windows XP - KB887472
    Correctif Windows XP - KB887742
    Correctif Windows XP - KB888113
    Correctif Windows XP - KB888302
    Correctif Windows XP - KB890859
    Correctif Windows XP - KB891781
    Maxthon Browser (remove only)
    Microsoft .NET Framework 2.0
    mIRC
    MSN
    Neat Image v5 Demo
    Nero 6 Ultra Edition
    NVIDIA Drivers
    PhotoFiltre
    RawShooter essentials 2005
    Adobe Flash Player 9 ActiveX
    Skype 3.0
    Spybot - Search & Destroy 1.4
    determ
    Startup Mechanic
    Trillian
    VideoLAN VLC media player 0.8.4a
    Archiveur WinRAR
    ZoneAlarm
    Macromedia Dreamweaver MX 2004
    Adobe Photoshop CS2
    Air USB Utility
    CD Burning 4
    J2SE Runtime Environment 5.0 Update 6
    QuickTime
    ACDSee 6.0 PowerPack
    Skype Plugin Manager
    ANIWZCS2 Service
    Microsoft .NET Framework 2.0
    Sony Ericsson PC Suite 1.20.224
    Adobe Stock Photos 1.0
    ANIO Service
    iTunes
    Adobe Common File Installer
    PRONOTE Client 8
    Microsoft Office Professional Edition 2003
    Macromedia Extension Manager
    Adobe Reader 7.0 - Fran‡ais
    Adobe Bridge 1.0
    ProfNOTE 7.0
    XLink Kai Evolution 7
    NvMixer
    Adobe Help Center 1.0
    
                                     Finished
    


    Et le rapport Hijackthis dans la foulée :
    Logfile of HijackThis v1.99.1
    Scan saved at 08:53:05, on 21/02/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\notepad.exe
    C:\DOCUME~1\MUSHU\taskmgr.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\MUSHU\LOCALS~1\Temp\Rar$EX00.656\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypixmania.com/importer/MypixUploader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{74D0F1B7-9ED0-47FD-A8ED-1B68DF0EBB88}: NameServer = 212.27.53.252,212.27.54.252
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8683EE28-B89A-4BCB-A310-4D66F2EC81EC}: NameServer = 212.27.54.252,212.27.32.177
    O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - F:\Player\__CDS2.dll (file missing)
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    
    


    Encore merci.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Insight Messages postés 29 Statut Membre
     
    Re,

    Alors, j'ai réinstallé XP et toujours cette merde!!!!
    CTRL+ALT+SUPP inopérent, toujours ce processus "taskmgr" actif au démarrage de XP (je le vois dans Process explorer)
    Sinon, voila ce que me dit Startup Mechanics a propos de ce "Task" qui s'active au démarrage. J'ai beau l'enlever, il revient a chaque démarrage!

    http://insight59.free.fr/photos/Startupmechanics_Task.JPG

    Avez-vous une idée?
    Je pense que si c'est revenu après réinstallation complète (formatage NTFS) cela signifie que la "merde" est dans une des mes 2 autres partitions! non?
    0
  7. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir,

    rends toi ici:

    http://www.virustotal.com/flash/index_en.html

    et fais analyser ce fichier :

    C:\Documents and Settings\Administrateur\taskmgr.exe

    et

    C:\Documents and Settings\MUSHU\taskmgr.exe

    poste le rapport ensuite!

    a+
    0
  8. Insight Messages postés 29 Statut Membre
     
    Merci Did71!
    Depuis la réinstallation, je n'ai plus le dossier "administrateur" dans "C:\Document and settings"
    Le résultat suivant vaut pour "C:\Documents and Settings\MUSHU\taskmgr.exe"

    Voici le résultat : (je comprends deja pourquoi Avast ne capte rien!)

    Antivirus          Version            Update              Result 
    AntiVir              7.3.1.37        02.21.2007        TR/Ciador.VB.A 
    Authentium      4.93.8          02.21.2007        no virus found 
    Avast                 4.7.936.0    02.21.2007       no virus found 
    AVG                        386           02.21.2007      I-Worm/Brontok.DN 
    BitDefender           7.2          02.21.2007        Trojan.Ciador.VB.A 
    CAT-QuickHeal     9.00         02.21.2007      I-Worm.VB.cd 
    ClamAV   devel-20060426 02.21.2007       no virus found 
    DrWeb                    4.33        02.21.2007        Win32.HLLW.Besink 
    eSafe                    7.0.14.0   02.21.2007       Virus.Win32.VB.cd 
    eTrust-Vet         30.4.3417 02.21.2007       Win32/Robknot.CX 
    Ewido                        4.0         02.21.2007        no virus found 
    FileAdvisor                1           02.21.2007       no virus found 
    Fortinet                 2.85.0.0   02.21.2007       W32/Ciadoor.13!tr.bdr 
    F-Prot                    4.2.1.29    02.21.2007      no virus found 
    F-Secure       6.70.13030.0   02.21.2007       Virus.Win32.VB.cd 
    Ikarus                  T3.1.0.31    02.21.2007  IM-Worm.Win32.Sumom.C 
    Kaspersky          4.0.2.24      02.21.2007        Virus.Win32.VB.cd 
    McAfee                      4968      02.21.2007     W32/Rontokbro.gen@MM 
    Microsoft                1.2204      02.21.2007        no virus found 
    NOD32v2                  2073        02.21.2007      Win32/Mygril.D 
    Norman                 5.80.02       02.21.2007      W32/Suspicious_M.gen 
    Panda                       9.0.0.4     02.21.2007        Trj/Agent.CWE 
    Prevx1                          V2         02.21.2007        no virus found 
    Sophos                      4.14.0       02.21.2007       Mal/Packer 
    Sunbelt                  2.2.907.0    02.17.2007        VIPRE.Suspicious 
    Symantec                   10             02.21.2007      W32.Olderdata 
    TheHacker             6.1.6.062     02.21.2007      no virus found 
    UNA                             1.83          02.21.2007      no virus found 
    VBA32                        3.11.2      02.20.2007 Backdoor.Win32.Ciadoor.13 
    VirusBuster              4.3.19:9    02.21.2007     novirus:Packed/MEW 
    
    
    Aditional Information 
    File size: 22987 bytes 
    MD5: 8cbba39a51eb8d1c15231d65ab36a19c 
    SHA1: 52d2d65fb572857651650beb4bff2ff30f67008c 
    packers: MEW 
    packers: MEW 
    Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. 
    


    Sinon une capture ici : http://insight59.free.fr/photos/virus%20total.JPG

    Merci.
    0
  9. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    supprime les fichiers en gras ci dessous:

    C:\Documents and Settings\Administrateur\taskmgr.exe
    C:\Documents and Settings\MUSHU\taskmgr.exe

    a+
    0
  10. Insight Messages postés 29 Statut Membre
     
    Re,

    Comme je te l'ai dit, le dossier administrateur n'ai plus là depuis la réinstallation d'XP.
    J'avais déjà effacer ces fichiers mais XP me dit qu'il ne les trouve pas au démarrage.

    Comment faire?
    Est-ce normal d'avoir ce fichier dans "C:\Documents and Settings\MUSHU\"
    L'as-tu?

    Merci.
    0
  11. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    non, je n'ai pas ce dossier MUSHU mais ce n'est pas toi qui a créé ce dossier en le nommant MUSHU!

    Chez moi, c'est :\Documents and Settings\mon nom d'utilisateur

    Qu'as tu dans ce dossier?

    a+
    0
  12. Insight Messages postés 29 Statut Membre
     
    Oui, MUSHU, c'est mon nom et il y a bien taskmgr dans ce dossier, mais hier, après l'avoir effacé, XP me disait qu'il ne le trouvait plus!!

    Mais je n'ai plus le dossier "administrateur" depuis la réinstallation! Est-ce normal?
    0
  13. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    je n'ai pas non plus de dossier administrateur, je suis administrateur avec mon nom, c'est normal!

    tu supprimes ce taskmgr.exe!

    ensuite, dis moi comment se comporte le pc!

    a+
    0
  14. Insight Messages postés 29 Statut Membre
     
    Alors, après suppression.

    Au démarrage, XP reste beaucoup beaucoup plus longtemps sur l'écran "Bienvenue", on entend le son d'erreur d'XP, puis, arrivé sur le bureau, j'ai un message qui me dit que XP n'as pas trouvé le fichier C:\DOCUM~1\MUSHU\taskmgr

    Et là, CTRL+ALT+SUPP fonctionne correctement (j'arrive sur le gestionnaire des tâches).

    Que faut-il faire alors?
    0
  15. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    si tu passes par msconfig puis onglet démarrage, tu trouves taskmgr?

    a+
    0
  16. Insight Messages postés 29 Statut Membre
     
    Non, il n'y est pas. Mais j'avais déjà supprimé ce "task" (qui n'était pas là avant ces problèmes) à l'aide de "Startup Mechanics".

    J'ai fait quelques essais entre temps :
    - suppression de taskmgr dans "C:\Documents and Settings\MUSHU\" --> message d'erreur d'XP disant qu'il ne trouve pas ce fichier.
    - création d'un fichier taskmgr.exe avec le bloc note, que je place dans "C:\Documents and Settings\MUSHU\"--> message d'erreur au redémarrage disant que taskmgr n'est pas un fichier Windows/system32 valide
    - enfin, j'ai copié/collé le fichier C:\Windows\system32\taskmgr dans "C:\Documents and Settings\MUSHU\" --> plus de message d'erreur au démarrage, mais juste le gestionnaire des tâches qui s'ouvre automatiquement (je n'ai qu'à le fermer).

    Qu'en penses-tu?

    P.S. : En tout cas, depuis que "C:\Documents and Settings\MUSHU\taskmgr" a été supprimé, le "task" présent dans Startup Mechanics n'est plus revenu alors qu'avant, il revenait à chaque démarrage!!
    0
  17. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    taskmgr.exe dans C:\Windows\system32\ est légitime, c'est lié au gestionnaire des tâches!

    Il n'a rien à faire ici: C:\Documents and Settings\MUSHU\

    regarde à nouveau dans msconfig!

    a+
    0
  18. Insight Messages postés 29 Statut Membre
     
    Alors, j'ai effacé le taskmgr que j'avais pris dans system32 et mis dans C:\Documents and Settings\MUSHU\.

    J'ai redémarré, fais MSCONFIG mais pas de taskmgr.
    Mais, utilisant régulièrement Startup Mechanics, je n'ai pas le souvenir d'un tel processus au démarrage.

    Ou penses-tu que je puisse récupérer un "taskmgr" propre à mettre dans C:\Documents and Settings\MUSHU\?

    Si un autre utilisateur d'XP me file le sien, cela pourrait résoudre le problème?

    Merci pour tous tes conseils! ;)

    P.S. : C'est si embêtant, pour le fonctionnement d'XP que le taskmgr de system32 soit mis dans C:\Documents and Settings\MUSHU\?
    0
  19. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    Il ne faut pas mettre taskmgr.exe ici:

    C:\Documents and Settings\MUSHU\

    Sa place est là:

    C:\Windows\system32\

    On va commencer par un nettoyage!

    Télécharge clean.zip

    http://www2.malekal.com/download/clean.zip

    Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
    Ouvre le dossier Clean qui se trouve sur ton bureau.
    Double-clic sur clean.cmd.
    Une fenêtre noire va apparaître, choisis l'option 1.

    Poste le rapport qui se trouve ici C:\rapport_clean.txt

    a+
    0
  20. Insight Messages postés 29 Statut Membre
     
    Voici le rapport :
    Rapport clean par Malekal_morte - http://www.malekal.com 
    Option 1, executee le 21/02/2007 a 21:35:18,71 
     
    *** Recherche de fichiers sur C: 
     
    *** Recherche des fichiers dans C:\WINDOWS\ 
     
    *** Recherche des fichiers dans C:\WINDOWS\system32 
     
    *** Fin du rapport ! 
    


    Tu dis qu'il ne doit pas y avoir de taskmgr dans C:\Documents and Settings\MUSHU\, donc toi, tu ne l'as pas dans ce dossier (même en affichant les dossiers systeme d'XP--> Options dossiers)?
    0
  21. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    donc rien de ce côté!

    on va rechercher ailleurs mais plus long!

    Étape 1:
    Télécharge eScan Antivirus Toolkit ici:

    http://www.spywareinfo.dk/download/mwav.exe

    Sauvegarde-le sur ton Bureau.
    Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

    Étape 2:
    Voici comment mettre l'outil à jour :

    1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

    2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

    3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

    4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

    Ne pas lancer le scan tout de suite !

    Étape 3:
    Redémarre en mode Sans Échec :
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisi la première option : Sans Échec, et valide avec "Entrée"
    5) Choisi ton compte régulier, et non Administrateur

    Étape 4:
    Du mode Sans Échec, voici comment utiliser le programme :

    1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

    2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.

    3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

    4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

    5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

    6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

    7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

    Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

    a+
    0
  • 1
  • 2