[Virus Trojan] taskmgr qui merde!!!

Question

Bonjour tous,

Alors depuis ce soir (en tout cas, c'est ce soir que je me suis rendu compte de ce problème) : impossible d'accéder au gestionnaire de taches de XP en faisant CTRL+ALT+SUPP!!
Tout ce qui se passe, c'est la flèche qui devient sablier un très très court instant et rien!!

Après quelques recherches, je vérifies les clés dans gpedit.msc mais rien n'y fait!

Je fais un scan en mode sans échec avec Spybot et Adaware (mis à jour juste vant pour les deux) qui ne me trouvent rien à part des MRU et tracking cookies!!

Pour accéder au gestionnaire des taches, je télécharge "ProcessExplorer". Dans celui-ci, il  a le processus "taskmgr" mais dans ses propriétés, son origine vient de C:\Documents and Settings\"mon nom".

Par contre, en allant dans C:\WINDOWS\system32 et cliquant sur taskmgr, j'arrive au gestionnaire des taches!!

De plus, dans "Startup Mechanics", j'ai un item au démarrage se nommant "task" (c'est le seul que je n'avais pas avant) et en cliquant dessus, "Statup Mechanics" me dit que c'est un fichier (qui n'est pas de Windows) se trouvant dans "Windows System 1060" mais impossible de trouver ce dossier 1060!!

J'ai téléchargé AVG anti spyware pour faire une analyse de plus et celui-ci m'a trouvé "Backdoor.Ciadoor.13" mais je ne pense pas que cela ait un rapport avec mon problème.

La seule solution que j'ai trouvé, c'est de supprimer le fichier "taskmgr" dans C:\Documents and Settings\"mon nom" en mode sans échec, mais XP me dit à chaque démarrage qu'il ne trouve pas ce fichier, ce qui est un peu embêtant!
J'ai redémarré plusieurs fois après suppression de ce "taskmgr" dans C:\Documents and Settings\"mon nom" et à part le message à l'ouverture d'XP, j'ai re accès au gestionnaire des tâches en faisant CTRL+ALt+SUPP.

P.S. : comme XP me demandait le fichier taskmgr, j'ai copié celui présent dans C:\Documents and Settings\administrateur dans C:\Documents and Settings\"mon nom" mais le problème revient alors!!

Merci pour votre aide!

did71 · Answer

bonsoir,

télécharge HijackThis:

http://pchelpbordeaux.free.fr/logiciels.html

Tutorial:

http://pchelpbordeaux.free.fr/tuto.html

Démo en image:

http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Fais un scan et poste l'analyse.

a+

Insight · Answer

C'était ce que j'étais en train de faire!! lol

Alors voici le scan quand "taskmgr" est présent dans C:\Documents and Settings\"mon nom" :
Logfile of HijackThis v1.99.1
Scan saved at 00:50:41, on 21/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\DOCUME~1\MUSHU	askmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\MUSHU\LOCALS~1\Temp\Rar$EX00.219\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74D0F1B7-9ED0-47FD-A8ED-1B68DF0EBB88}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CCS\Services\Tcpip\..\{8683EE28-B89A-4BCB-A310-4D66F2EC81EC}: NameServer = 212.27.54.252,212.27.32.177
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - F:\Player\__CDS2.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Et quand "taskmgr" est effacé de C:\Documents and Settings\"mon nom" :
Logfile of HijackThis v1.99.1
Scan saved at 00:46:56, on 21/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\MUSHU\LOCALS~1\Temp\Rar$EX00.094\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74D0F1B7-9ED0-47FD-A8ED-1B68DF0EBB88}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CCS\Services\Tcpip\..\{8683EE28-B89A-4BCB-A310-4D66F2EC81EC}: NameServer = 212.27.54.252,212.27.32.177
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - F:\Player\__CDS2.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Merci!! ;)

did71 · Answer

re,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau: 

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
Redémarre ton ordinateur 
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
Choisis ton compte. 
Déroule la liste des instructions ci-dessous : 
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script. 
Appuie sur Y pour commencer le processus de nettoyage. 
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
Appuie sur une touche pour redémarrer le PC. 
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

a+

Insight · Answer

Tout d'abord, merci pour ton aide Did71!! ;)

Alors, j'ai fait tout ceci 
Petite précision : en mode sans échec, j'ai le choix entre la session administrateur et ma session( je suis administrateur), et j'ai sélectionné ma session pour faire ce scan. Dis moi si c'est sur la session administrateur (ou le bureau est pratiquement vide) qu'il faut que je le fasse.

Voici le rapport SDFix :

SDFix: Version 1.67

Run by MUSHU - 21/02/2007 @  8:48:06,17

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services: 

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found...




ADS Check:

C:\WINDOWS\system32
No streams found.


                                 Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\IncrediMail\bin\IMApp.exe"="C:\Program Files\IncrediMail\bin\IMApp.exe:*:Enabled:IncrediMail"
"C:\Program Files\IncrediMail\bin\IncMail.exe"="C:\Program Files\IncrediMail\bin\IncMail.exe:*:Enabled:IncrediMail"
"C:\Program Files\IncrediMail\bin\ImpCnt.exe"="C:\Program Files\IncrediMail\bin\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------



Checking For Files with Hidden Attributes :

C:\Documents and Settings\Administrateur	askmgr.exe
C:\Documents and Settings\MUSHU	askmgr.exe

Add/Remove Programs List:

Ad-Aware SE Personal
Adobe Photoshop CS2
avast! Antivirus
AVG Anti-Spyware 7.5
BitComet 0.70
Canon i560
CCleaner (remove only)
CD'n'Go! Suite 2.00
Comptes Bancaires 5.6
ddali
DVD Region+CSS Free 5.61
DVD Shrink 3.2
DVDFab Express 2.9.7.9
eMule
EVEREST Home Edition v2.20
PPP over Ethernet
FileZilla (remove only)
HijackThis 1.99.1
IncrediMail Xe
Air USB Utility
QuickTime
iTunes
Correctif Windows XP - KB873339
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB887742
Correctif Windows XP - KB888113
Correctif Windows XP - KB888302
Correctif Windows XP - KB890859
Correctif Windows XP - KB891781
Maxthon Browser (remove only)
Microsoft .NET Framework 2.0
mIRC
MSN
Neat Image v5 Demo
Nero 6 Ultra Edition
NVIDIA Drivers
PhotoFiltre
RawShooter essentials 2005
Adobe Flash Player 9 ActiveX
Skype 3.0
Spybot - Search & Destroy 1.4
determ
Startup Mechanic
Trillian
VideoLAN VLC media player 0.8.4a
Archiveur WinRAR
ZoneAlarm
Macromedia Dreamweaver MX 2004
Adobe Photoshop CS2
Air USB Utility
CD Burning 4
J2SE Runtime Environment 5.0 Update 6
QuickTime
ACDSee 6.0 PowerPack
Skype Plugin Manager
ANIWZCS2 Service
Microsoft .NET Framework 2.0
Sony Ericsson PC Suite 1.20.224
Adobe Stock Photos 1.0
ANIO Service
iTunes
Adobe Common File Installer
PRONOTE Client 8
Microsoft Office Professional Edition 2003
Macromedia Extension Manager
Adobe Reader 7.0 - Fran‡ais
Adobe Bridge 1.0
ProfNOTE 7.0
XLink Kai Evolution 7
NvMixer
Adobe Help Center 1.0

                                 Finished


Et le rapport Hijackthis dans la foulée : 
Logfile of HijackThis v1.99.1
Scan saved at 08:53:05, on 21/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32
otepad.exe
C:\DOCUME~1\MUSHU	askmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\MUSHU\LOCALS~1\Temp\Rar$EX00.656\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74D0F1B7-9ED0-47FD-A8ED-1B68DF0EBB88}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CCS\Services\Tcpip\..\{8683EE28-B89A-4BCB-A310-4D66F2EC81EC}: NameServer = 212.27.54.252,212.27.32.177
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - F:\Player\__CDS2.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Encore merci.

Insight · Answer

Re,

Alors, j'ai réinstallé XP et toujours cette merde!!!!
CTRL+ALT+SUPP inopérent, toujours ce processus "taskmgr" actif au démarrage de XP (je le vois dans Process explorer)
Sinon, voila ce que me dit Startup Mechanics a propos de ce "Task" qui s'active au démarrage. J'ai beau l'enlever, il revient a chaque démarrage!

http://insight59.free.fr/photos/Startupmechanics_Task.JPG

Avez-vous une idée?
Je pense que si c'est revenu après réinstallation complète (formatage NTFS) cela signifie que la "merde" est dans une des mes 2 autres partitions! non?

did71 · Answer

Bonsoir,

rends toi ici:

http://www.virustotal.com/flash/index_en.html

et fais analyser ce fichier :

C:\Documents and Settings\Administrateur	askmgr.exe

et 

C:\Documents and Settings\MUSHU	askmgr.exe

poste le rapport ensuite!

a+

Insight · Answer

Merci Did71!
Depuis la réinstallation, je n'ai plus le dossier "administrateur" dans "C:\Document and settings"
Le résultat suivant vaut pour "C:\Documents and Settings\MUSHU	askmgr.exe"

Voici le résultat : (je comprends deja pourquoi Avast ne capte rien!)


Antivirus          Version            Update              Result 
AntiVir              7.3.1.37        02.21.2007        TR/Ciador.VB.A 
Authentium      4.93.8          02.21.2007        no virus found 
Avast                 4.7.936.0    02.21.2007       no virus found 
AVG                        386           02.21.2007      I-Worm/Brontok.DN 
BitDefender           7.2          02.21.2007        Trojan.Ciador.VB.A 
CAT-QuickHeal     9.00         02.21.2007      I-Worm.VB.cd 
ClamAV   devel-20060426 02.21.2007       no virus found 
DrWeb                    4.33        02.21.2007        Win32.HLLW.Besink 
eSafe                    7.0.14.0   02.21.2007       Virus.Win32.VB.cd 
eTrust-Vet         30.4.3417 02.21.2007       Win32/Robknot.CX 
Ewido                        4.0         02.21.2007        no virus found 
FileAdvisor                1           02.21.2007       no virus found 
Fortinet                 2.85.0.0   02.21.2007       W32/Ciadoor.13!tr.bdr 
F-Prot                    4.2.1.29    02.21.2007      no virus found 
F-Secure       6.70.13030.0   02.21.2007       Virus.Win32.VB.cd 
Ikarus                  T3.1.0.31    02.21.2007  IM-Worm.Win32.Sumom.C 
Kaspersky          4.0.2.24      02.21.2007        Virus.Win32.VB.cd 
McAfee                      4968      02.21.2007     W32/Rontokbro.gen@MM 
Microsoft                1.2204      02.21.2007        no virus found 
NOD32v2                  2073        02.21.2007      Win32/Mygril.D 
Norman                 5.80.02       02.21.2007      W32/Suspicious_M.gen 
Panda                       9.0.0.4     02.21.2007        Trj/Agent.CWE 
Prevx1                          V2         02.21.2007        no virus found 
Sophos                      4.14.0       02.21.2007       Mal/Packer 
Sunbelt                  2.2.907.0    02.17.2007        VIPRE.Suspicious 
Symantec                   10             02.21.2007      W32.Olderdata 
TheHacker             6.1.6.062     02.21.2007      no virus found 
UNA                             1.83          02.21.2007      no virus found 
VBA32                        3.11.2      02.20.2007 Backdoor.Win32.Ciadoor.13 
VirusBuster              4.3.19:9    02.21.2007     novirus:Packed/MEW 


Aditional Information 
File size: 22987 bytes 
MD5: 8cbba39a51eb8d1c15231d65ab36a19c 
SHA1: 52d2d65fb572857651650beb4bff2ff30f67008c 
packers: MEW 
packers: MEW 
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. 


Sinon une capture ici : http://insight59.free.fr/photos/virus%20total.JPG

Merci.

did71 · Answer

re,

supprime les fichiers en gras ci dessous:

C:\Documents and Settings\Administrateur	askmgr.exe
C:\Documents and Settings\MUSHU	askmgr.exe

a+

Insight · Answer

Re,

Comme je te l'ai dit, le dossier administrateur n'ai plus là depuis la réinstallation d'XP.
J'avais déjà effacer ces fichiers mais XP me dit qu'il ne les trouve pas au démarrage.

Comment faire?
Est-ce normal d'avoir ce fichier dans "C:\Documents and Settings\MUSHU\"
L'as-tu?

Merci.

did71 · Answer

re,

non, je n'ai pas ce dossier MUSHU mais ce n'est pas toi qui a créé ce dossier en le nommant MUSHU!

Chez moi, c'est :\Documents and Settings\mon nom d'utilisateur

Qu'as tu dans ce dossier?

a+

Insight · Answer

Oui, MUSHU, c'est mon nom et il y a bien taskmgr dans ce dossier, mais hier, après l'avoir effacé, XP me disait qu'il ne le trouvait plus!!

Mais je n'ai plus le dossier "administrateur" depuis la réinstallation! Est-ce normal?

did71 · Answer

re,

je n'ai pas non plus de dossier administrateur, je suis administrateur avec mon nom, c'est normal!

tu supprimes ce taskmgr.exe!

ensuite, dis moi comment se comporte le pc!

a+

Insight · Answer

Alors, après suppression.

Au démarrage, XP reste beaucoup beaucoup plus longtemps sur l'écran "Bienvenue", on entend le son d'erreur d'XP, puis, arrivé sur le bureau, j'ai un message qui me dit que XP n'as pas trouvé le fichier C:\DOCUM~1\MUSHU	askmgr

Et là, CTRL+ALT+SUPP fonctionne correctement (j'arrive sur le gestionnaire des tâches).

Que faut-il faire alors?

did71 · Answer

re,

si tu passes par msconfig puis onglet démarrage, tu trouves taskmgr?

a+

Insight · Answer

Non, il n'y est pas. Mais j'avais déjà supprimé ce "task" (qui n'était pas là avant ces problèmes) à l'aide de "Startup Mechanics".

J'ai fait quelques essais entre temps : 
- suppression de taskmgr dans "C:\Documents and Settings\MUSHU\" --> message d'erreur d'XP disant qu'il ne trouve pas ce fichier.
- création d'un fichier taskmgr.exe avec le bloc note, que je place dans "C:\Documents and Settings\MUSHU\"--> message d'erreur au redémarrage disant que taskmgr n'est pas un fichier Windows/system32 valide
- enfin, j'ai copié/collé le fichier C:\Windows\system32	askmgr dans "C:\Documents and Settings\MUSHU\" --> plus de message d'erreur au démarrage, mais juste le gestionnaire des tâches qui s'ouvre automatiquement (je n'ai qu'à le fermer).

Qu'en penses-tu?

P.S. : En tout cas, depuis que "C:\Documents and Settings\MUSHU	askmgr" a été supprimé, le "task" présent dans Startup Mechanics n'est plus revenu alors qu'avant, il revenait à chaque démarrage!!

did71 · Answer

re, 

taskmgr.exe dans C:\Windows\system32\ est légitime, c'est lié au gestionnaire des tâches!

Il n'a rien à faire ici: C:\Documents and Settings\MUSHU\

regarde à nouveau dans msconfig!

a+

Insight · Answer

Alors, j'ai effacé le taskmgr que j'avais pris dans system32 et mis dans C:\Documents and Settings\MUSHU\.

J'ai redémarré, fais MSCONFIG mais pas de taskmgr.
Mais, utilisant régulièrement Startup Mechanics, je n'ai pas le souvenir d'un tel processus au démarrage.

Ou penses-tu que je puisse récupérer un "taskmgr" propre à mettre dans C:\Documents and Settings\MUSHU\?

Si un autre utilisateur d'XP me file le sien, cela pourrait résoudre le problème?

Merci pour tous tes conseils! ;)

P.S. : C'est si embêtant, pour le fonctionnement d'XP que le taskmgr de system32 soit mis dans C:\Documents and Settings\MUSHU\?

did71 · Answer

re,

Il ne faut pas  mettre taskmgr.exe ici:

C:\Documents and Settings\MUSHU\

Sa place est là:

C:\Windows\system32\

On va commencer par un nettoyage!

Télécharge clean.zip 

http://www2.malekal.com/download/clean.zip 

Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean. 
Ouvre le dossier Clean qui se trouve sur ton bureau. 
Double-clic sur clean.cmd. 
Une fenêtre noire va apparaître, choisis l'option 1. 

Poste le rapport qui se trouve ici C:\rapport_clean.txt 

a+

Insight · Answer

Voici le rapport : 
Rapport clean par Malekal_morte - http://www.malekal.com 
Option 1, executee le 21/02/2007 a 21:35:18,71 
 
*** Recherche de fichiers sur C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Fin du rapport ! 


Tu dis qu'il ne doit pas y avoir de taskmgr dans C:\Documents and Settings\MUSHU\, donc toi, tu ne l'as pas dans ce dossier (même en affichant les dossiers systeme d'XP--> Options dossiers)?

did71 · Answer

re,

donc rien de ce côté!

on va rechercher ailleurs mais plus long!

Étape 1: 
Télécharge eScan Antivirus Toolkit ici: 

http://www.spywareinfo.dk/download/mwav.exe 

Sauvegarde-le sur ton Bureau. 
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. 

Étape 2: 
Voici comment mettre l'outil à jour : 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads). 

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants. 

Ne pas lancer le scan tout de suite ! 

Étape 3: 
Redémarre en mode Sans Échec : 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisi la première option : Sans Échec, et valide avec "Entrée" 
5) Choisi ton compte régulier, et non Administrateur 


Étape 4: 
Du mode Sans Échec, voici comment utiliser le programme : 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 

2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran. 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

a+

Insight · Answer

Ca y est! C'est fait.

Voici le rapport :
File C:\WINDOWS\Screen Task.scr infected by "Virus.Win32.VB.cd" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\MUSHU\Bureau\clean\pskill.exe tagged as not-a-virus:RiskTool.Win32.PsKill.k. No Action Taken.

File C:\Documents and Settings\MUSHU\Local Settings\Temp\Kill Brontok.exe infected by "Virus.Win32.VB.cd" Virus. Action Taken: File Renamed.
File C:\RECYCLER\S-1-5-21-117609710-1035525444-839522115-1003\Dc7.exe infected by "Virus.Win32.VB.cd" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{D433945F-62E8-4106-A76A-62235A1F322D}\RP1\A0000101.scr infected by "Virus.Win32.VB.cd" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{D433945F-62E8-4106-A76A-62235A1F322D}\RP1\A0000120.scr infected by "Virus.Win32.VB.cd" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{D433945F-62E8-4106-A76A-62235A1F322D}\RP4\A0000163.scr infected by "Virus.Win32.VB.cd" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{D433945F-62E8-4106-A76A-62235A1F322D}\RP4\A0000188.scr infected by "Virus.Win32.VB.cd" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{D433945F-62E8-4106-A76A-62235A1F322D}\RP4\A0000213.scr infected by "Virus.Win32.VB.cd" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{D433945F-62E8-4106-A76A-62235A1F322D}\RP5\A0001348.scr infected by "Virus.Win32.VB.cd" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{D433945F-62E8-4106-A76A-62235A1F322D}\RP5\A0001349.exe infected by "Virus.Win32.VB.cd" Virus. Action Taken: File Renamed.


Toujours le message d'erreur au démarrage d'XP disant qu'il manque C:\Documents and Settings\MUSHU	askmgr.

Merci.

did71 · Answer

re,

essaie ceci:

Désactive le service d'affichage des messages :
Démarrer --> Exécuter --> tape services.msc puis Entrée
Dans la liste, cherche la ligne "Affichage des messages" puis double-clique dessus.
Règle le "type de démarrage" sur "Désactiver"
Pour le statut du service, clique sur le bouton Arrêter
puis clique sur Appliquer.

a+

Insight · Answer

C'était déjà comme cela.
J'ai redémarré pour vérifier mais toujours le message d'erreur.

did71 · Answer

re,

c'est à se tapper la tête contre les murs, ton problème!

Télécharge Blacklight (de F-Secure), sauvegarde le sur ton Bureau: 

https://europe.f-secure.com/exclude/blacklight/index.shtml 

Double-clique blbeta.exe et accepte la licence ;clique Scan puis Next 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). 

Copie et colle le contenu de ce rapport dans ta prochaine réponse!

a+

Insight · Answer

Il n'a rien trouvé :
02/21/07 23:08:50 [Info]: BlackLight Engine 1.0.55 initialized
02/21/07 23:08:50 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/21/07 23:08:50 [Note]: 7019 4
02/21/07 23:08:50 [Note]: 7005 0
02/21/07 23:08:52 [Note]: 7006 0
02/21/07 23:08:52 [Note]: 7011 1308
02/21/07 23:08:53 [Note]: 7026 0
02/21/07 23:08:53 [Note]: 7026 0
02/21/07 23:08:55 [Note]: FSRAW library version 1.7.1021
02/21/07 23:09:57 [Note]: 7007 0

Ah la la!!!!

Sinon, toi, tu n'as pas de taskmgr dans C:\Documents and settings\username\ (même en affichant les fichiers systeme)?

Insight · Answer

Sinon, j'ai fait une recherche de "taskmgr" et j'obtiens ca, au cas ou il y aurait des fichiers qui ne devraient pas exister.

http://insight59.free.fr/photos/taskmgr.JPG

did71 · Answer

re,

évidemment non!

je passe mon temps à aider sur les forums, je le saurai!

tu dis:

enfin, j'ai copié/collé le fichier C:\Windows\system32	askmgr dans "C:\Documents and Settings\MUSHU\" --> plus de message d'erreur au démarrage, mais juste le gestionnaire des tâches qui s'ouvre automatiquement (je n'ai qu'à le fermer). 

on peut contourner le problème, je pense!

tu le laisse ici et dans msconfig, tu le décoche dans démarrage!

tiens moi au courant!

a+

Insight · Answer

Alors, j'ai copié/collé le fichier C:\Windows\system32	askmgr dans "C:\Documents and Settings\MUSHU\" comme fait tout à l'heure.

Comme tout à l'heure, le gestionnaire des tâches s'ouvre à l'ouverture de XP.

Mais aucune trace de taskmgr dans MSCONFIG.
Voici une tof :
http://insight59.free.fr/photos/msconfig.JPG

did71 · Answer

re,

et s'il s'ouvre toujours au démarrage?

a+

Insight · Answer

Au fait, j'y pense, c'est bizard quand meme que le problème ait persisté après formatage /réinstallation d'XP!!

Le virus ne réside-t-il pas dans une de mes autres partitions? (D: ou E:)?

Insight · Answer

Cela me dérange pas trop, en tout cas moins que de devoir attendre au démarrage pour me dire que taskmgr manque!! lol

Mais est-ce "dangereux" pour XP de laisser taskmgr dans C:\DOCUME~1\MUSHU alors que tu disais qu'il ne devait pas y en avoir là!?

Et cela signifie-t-il qu'il y a encore un virus, ou que le virus n'est plus là mais qu'il reste la modification qu'il a faite?

Merci.

did71 · Answer

re,

une saleté peut rester même après un formatage simple, juste un formatage bas niveau supprime tout!

poste moi un rapport hijackthis de D!

a+

Insight · Answer

Comment fais-tu un hijackthis sur D:?

J'ai copié hijakthis dans D: et voici le rapport (qui me semble etre fait sur C:)

Logfile of HijackThis v1.99.1
Scan saved at 23:44:53, on 21/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Maxthon\Maxthon.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Insight · Answer

Pour le formatage, j'ai fait un formatage NTFS complet (pas le rapide) ;)

did71 · Answer

re,


oui mais ce n'est pas un formatage bas niveau!

le formatage bas niveau est spécial et pas très connu, on  dirait!

il te faut la marque de ton HDD pour l'utilitaire à télécharger sur le site du constructeur!

regarde ici:

http://poloastucien.free.fr/format_bas_niveau.html

a+

Insight · Answer

Ok
Mon DD est un Seagate 160Go 8Mo de cache.

Bon, le formatage bas niveau sera pour un peu plus tard car cela formate toutes les partitions du disque!!

Va falloir graver du DVD pour sauvegarder tout ce que j'ai dessus. lol

Sinon, pour toi, je peux laisser comme cela pour l'instant?

did71 · Answer

re,

oui tu peux rester comme ça, si ce n'est pas trop dérangeant pour toi!

pour moi, ce n'est pas infectieux!

Si ça devient pénible, on pourrra envisager cette solution!

a+

Insight · Answer

Ok!!

En tout cas, je tiens à te remercier du fond du coeur pour tout le temps que tu m'as consacré!!!!! Vraiment!!!

Je posterai a nouveau si ca empire ou lorsque je serai pret a formater en bas niveau!! en plus j'ai pas de lecteur disquette pour faire les disquettes de démarrage!!
Peut-etre qu'on peut faire ca sur CD!

Un grand merci!!!

Bonne nuit à toi!!
Insight/Seb. ;)

did71 · Answer

re,

je t'en prie!

bonne nuit à toi aussi!


en cas voulu, je serais là!

a+

cephalentera · Answer

Salut,

si t'as tjs des problèmes, le lien ci-dessous peut t'aider:

infecte par tr ciador vb a

En tout cas formate bien tous tes lecteurs amovibles!!!

A+

Ceph

[Virus Trojan] taskmgr qui merde!!! - Page 2

Discussions similaires

Newsletters