Sujet Précédent Sujet Suivant

NTKRNL Secure suite

Fermé
pagalmaarl Messages postés 17 Date d'inscription vendredi 6 janvier 2006 Statut Membre Dernière intervention 12 mars 2007 - 3 mars 2007 à 19:57
salwa5 Messages postés 7452 Date d'inscription jeudi 30 novembre 2006 Statut Contributeur Dernière intervention 18 août 2012 - 12 mars 2007 à 16:31
Bonjour; j'ai un petit probleme depuis 1 jour.

Au démarage de xp j'ai une fenetre qui s'ouvre avec d'affiché NTKRNL Secure suite. Je ne sais pas d'ou cela vient, mais depuis que j'ai ca au demarage mon ordi plante au bout de 2 3 minutes. J'essaie de lancer des applications mais cela reste bloqué.

J'ai fait une recherche sur le net a propos de ce truc mais j'ai rien trouvé.

Est ce un vers un trojan un virus et surtout comment l'enlever?

Merci

14 réponses

Réponse 1 / 14
salwa5 Messages postés 7452 Date d'inscription jeudi 30 novembre 2006 Statut Contributeur Dernière intervention 18 août 2012 1 643
3 mars 2007 à 22:13
bonsoir telecharge SmitfraudFix

http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.


a++
1
Réponse 2 / 14
pagalmaarl
4 mars 2007 à 11:39
voila le rapport smitfraudfix ainsi qu'un rapport hijackthis al suite:

SmitFraudFix v2.147



Rapport fait à 11:16:00,46, 04/03/2007

Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec



»»»»»»»»»»»»»»»»»»»»»»»» hosts





»»»»»»»»»»»»»»»»»»»»»»»» C:\





»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS





»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system





»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web





»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32





»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire





»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data





»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer





»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris





»»»»»»»»»»»»»»»»»»»»»»»» Bureau





»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files





»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues





»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau







»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!



SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll





»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""





»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""





»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32





»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll





»»»»»»»»»»»»»»»»»»»»»»»» Fin




Rapport hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 11:17:49, on 04/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Rar$EX00.266\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe

O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinCast] G:\SETUP.EXE -lfra

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Win32] eim.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\RunServices: [Win32] eim.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe

O4 - HKCU\..\Run: [Win32] eim.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - Unknown owner - E:\Nouveau dossier\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe (file missing)

O23 - Service: Sandra Service (SandraTheSrv) - Unknown owner - E:\Nouveau dossier\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe (file missing)

O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe
0
Réponse 3 / 14
salwa5 Messages postés 7452 Date d'inscription jeudi 30 novembre 2006 Statut Contributeur Dernière intervention 18 août 2012 1 643
4 mars 2007 à 13:02
bonjour retelecharge hijackthis et enregistre le sur le bureau puis renome le abcd.exe

ensuite refait un scan et colle le resultat ici

a+++
0
Réponse 4 / 14
pagalmaarl Messages postés 17 Date d'inscription vendredi 6 janvier 2006 Statut Membre Dernière intervention 12 mars 2007
4 mars 2007 à 14:03
J'ai pas trop bien compris la manipulation a faire ou du moins l'interet...
Mais je te fais confiance salwa 5 , c'est toi le pro.

donc j'ai retelechargé hijackthis, j'ai renomé hijacthis.exe en abcd.exe, j'ai relancé un scan et voici le rapport:

Logfile of HijackThis v1.99.1

Scan saved at 13:51:41, on 04/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\System32\algose32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\eim.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe

C:\WINDOWS\System32\urdvxc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\dllcache\seagatecom.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Propriétaire\Bureau\abcd.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {4C2142F9-E90D-4D2F-B286-840AFDC4BC5F} - C:\WINDOWS\system32\cbxywtr.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {A9B38E3F-0D11-4D94-B06D-DFBF699BFD20} - C:\WINDOWS\System32\ljjjjgf.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\System32\dmqheriu.dll

O2 - BHO: (no name) - {F0295C4F-98B5-4E13-87DA-B4D9C7A853BC} - C:\WINDOWS\System32\gebcy.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe

O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinCast] G:\SETUP.EXE -lfra

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Win32] eim.exe

O4 - HKLM\..\RunServices: [Win32] eim.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe

O4 - HKCU\..\Run: [Win32] eim.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...

O20 - Winlogon Notify: cbxywtr - cbxywtr.dll (file missing)

O20 - Winlogon Notify: gebcy - C:\WINDOWS\System32\gebcy.dll

O20 - Winlogon Notify: ljjjjgf - C:\WINDOWS\SYSTEM32\ljjjjgf.dll

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe

O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - Unknown owner - E:\Nouveau dossier\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe (file missing)

O23 - Service: Sandra Service (SandraTheSrv) - Unknown owner - E:\Nouveau dossier\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe (file missing)

O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 14
salwa5 Messages postés 7452 Date d'inscription jeudi 30 novembre 2006 Statut Contributeur Dernière intervention 18 août 2012 1 643
4 mars 2007 à 14:16
bonjour le fait de renomer hijackthis permet de décéler l'infection vundo qui se cache desqu'elle detecte le nom hijacthis

si tu compare tes 2 raports hijackthis tu va remarqué que sur le 2 eme hijacthis les lignes verolé O2 et O20 apparraisse alors que ce n'est pas le cas avec le 1er log




1/Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

http://www.atribune.org/ccount/click.php?id=4

>Double-clique VundoFix.exe afin de le lancer.
>Clique sur le bouton Scan for Vundo.
>Lorsque le scan est complété, clique sur le bouton Remove Vundo.
>Une invite te demandera si tu veux supprimer les fichiers, clique YES
>Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
>Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
>Démarre ton PC à nouveau.
>Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

a++++
0
Réponse 6 / 14
pagalmaarl Messages postés 17 Date d'inscription vendredi 6 janvier 2006 Statut Membre Dernière intervention 12 mars 2007
4 mars 2007 à 14:59
j'ai fait ce que tu m'as dit et voici le rapport:

VundoFix V6.3.12



Checking Java version...



Java version is 1.4.2.3

Old versions of java are exploitable and should be removed.



Java version is 1.5.0.10



Scan started at 14:36:33 04/03/2007



Listing files found while scanning....



C:\WINDOWS\system32\cbxvvtt.dll

C:\WINDOWS\system32\cbxywtr.dll

C:\WINDOWS\system32\cbxywwv.dll

C:\WINDOWS\system32\dmqheriu.dll

C:\WINDOWS\system32\dvfsgswf.dll

C:\WINDOWS\System32\gebcy.dll

C:\WINDOWS\system32\jkkjgfe.dll

C:\WINDOWS\system32\ljjjged.dll

C:\WINDOWS\system32\ljjjjgf.dll

C:\WINDOWS\system32\reqvmohu.exe

C:\WINDOWS\system32\ssqnklj.dll

C:\WINDOWS\system32\vtuvtrs.dll

C:\WINDOWS\system32\xqoxewco.dll

C:\WINDOWS\system32\ycbeg.bak1

C:\WINDOWS\system32\ycbeg.ini



Beginning removal...



Attempting to delete C:\WINDOWS\system32\cbxvvtt.dll

C:\WINDOWS\system32\cbxvvtt.dll Has been deleted!



Attempting to delete C:\WINDOWS\system32\cbxywwv.dll

C:\WINDOWS\system32\cbxywwv.dll Has been deleted!



Attempting to delete C:\WINDOWS\system32\dmqheriu.dll

C:\WINDOWS\system32\dmqheriu.dll Has been deleted!



Attempting to delete C:\WINDOWS\system32\dvfsgswf.dll

C:\WINDOWS\system32\dvfsgswf.dll Has been deleted!



Attempting to delete C:\WINDOWS\System32\gebcy.dll

C:\WINDOWS\System32\gebcy.dll Could not be deleted.



Attempting to delete C:\WINDOWS\system32\jkkjgfe.dll

C:\WINDOWS\system32\jkkjgfe.dll Has been deleted!



Attempting to delete C:\WINDOWS\system32\ljjjged.dll

C:\WINDOWS\system32\ljjjged.dll Has been deleted!



Attempting to delete C:\WINDOWS\system32\ljjjjgf.dll

C:\WINDOWS\system32\ljjjjgf.dll Could not be deleted.



Attempting to delete C:\WINDOWS\system32\reqvmohu.exe

C:\WINDOWS\system32\reqvmohu.exe Has been deleted!



Attempting to delete C:\WINDOWS\system32\ssqnklj.dll

C:\WINDOWS\system32\ssqnklj.dll Has been deleted!



Attempting to delete C:\WINDOWS\system32\vtuvtrs.dll

C:\WINDOWS\system32\vtuvtrs.dll Has been deleted!



Attempting to delete C:\WINDOWS\system32\xqoxewco.dll

C:\WINDOWS\system32\xqoxewco.dll Has been deleted!



Attempting to delete C:\WINDOWS\system32\ycbeg.bak1

C:\WINDOWS\system32\ycbeg.bak1 Has been deleted!



Attempting to delete C:\WINDOWS\system32\ycbeg.ini

C:\WINDOWS\system32\ycbeg.ini Has been deleted!



Performing Repairs to the registry.

Done!



Beginning removal...



Attempting to delete C:\WINDOWS\System32\gebcy.dll

C:\WINDOWS\System32\gebcy.dll Has been deleted!



Attempting to delete C:\WINDOWS\system32\ljjjjgf.dll

C:\WINDOWS\system32\ljjjjgf.dll Has been deleted!



Attempting to delete C:\WINDOWS\system32\ycbeg.ini

C:\WINDOWS\system32\ycbeg.ini Has been deleted!



Performing Repairs to the registry.

Done!



N-B: Pour les 3 derniers, vundo n'a pas pu les supprimer dans un premier tps, mais il les a supprimé au redemarrage de l'ordi, enfin je crois...

Le probleme est toujours présent
0
Réponse 7 / 14
salwa5 Messages postés 7452 Date d'inscription jeudi 30 novembre 2006 Statut Contributeur Dernière intervention 18 août 2012 1 643
4 mars 2007 à 15:18
reposte un nouveau hijacthis stp

a++
0
Réponse 8 / 14
pagalmaarl Messages postés 17 Date d'inscription vendredi 6 janvier 2006 Statut Membre Dernière intervention 12 mars 2007
4 mars 2007 à 15:33
Voici:

Logfile of HijackThis v1.99.1

Scan saved at 15:26:53, on 04/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\System32\sw24.exe

C:\WINDOWS\system32\dumprep.exe

C:\WINDOWS\System32\algose32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\eim.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Documents and Settings\Propriétaire\Bureau\abcd.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe

C:\Program Files\Alwil Software\Avast4\setup\avast.setup

C:\WINDOWS\System32\urdvxc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\dllcache\seagatecom.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {2C0E865F-EB95-42A6-91B7-B61D18077F27} - C:\WINDOWS\System32\gebcy.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {A9B38E3F-0D11-4D94-B06D-DFBF699BFD20} - C:\WINDOWS\System32\ljjjjgf.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\System32\dmqheriu.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe

O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinCast] G:\SETUP.EXE -lfra

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Win32] eim.exe

O4 - HKLM\..\RunServices: [Win32] eim.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe

O4 - HKCU\..\Run: [Win32] eim.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...

O20 - Winlogon Notify: cbxywtr - cbxywtr.dll (file missing)

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe

O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - Unknown owner - E:\Nouveau dossier\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe (file missing)

O23 - Service: Sandra Service (SandraTheSrv) - Unknown owner - E:\Nouveau dossier\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe (file missing)

O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe
0
Réponse 9 / 14
salwa5 Messages postés 7452 Date d'inscription jeudi 30 novembre 2006 Statut Contributeur Dernière intervention 18 août 2012 1 643
4 mars 2007 à 16:23
bonjour :) desactive ce service verolé

O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe" /service (file missing)

comme ceci :

demarrer/executer tapes : services.msc

double cliques sur le service : Network Windows Service (MSWindows) ,dans type de demarrage choisi desactiver puis clique sur arreter puis sur appliqué / ok





imprimes ou enregistres les instruction suivante pour ne rien oublié :


telecharge the killbox

http://www.downloads.subratam.org/KillBox.exe

1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)

2.Double clic sur killbox.exe (Pocket Killbox)

- Dans "Full Path of File to Delete"
copie et colle:

C:\WINDOWS\System32\rpcc.dll

-clique sur single file
- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation de suppression clique sur YES

tu fait pareil avec ces fichiers :

C:\WINDOWS\System32\algose32.exe
C:\WINDOWS\System32\urdvxc.exe
C:\WINDOWS\System32\eim.exe
C:\WINDOWS\System32\sw24.exe

redemare en mode normal



ouvre hijackthis coches ces lignes puis clic sur fix checked

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: (no name) - {2C0E865F-EB95-42A6-91B7-B61D18077F27} - C:\WINDOWS\System32\gebcy.dll (file missing)
O2 - BHO: (no name) - {A9B38E3F-0D11-4D94-B06D-DFBF699BFD20} - C:\WINDOWS\System32\ljjjjgf.dll (file missing)
O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\System32\dmqheriu.dll (file missing)

O4 - HKLM\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
O4 - HKLM\..\Run: [Win32] eim.exe
O4 - HKLM\..\RunServices: [Win32] eim.exe
O4 - HKCU\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
O4 - HKCU\..\Run: [Win32] eim.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O20 - Winlogon Notify: cbxywtr - cbxywtr.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll


telecharge et executes

AVG anti spyware
https://www.01net.com/telecharger/

(n'oublie pas de le mettre a jour avant de lancer le scan)


Relance AVG AS puis choisis l'onglet "Analyse"
Puis l'onglet "Paramètres"
Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

/!\ Si un fichier est infecté en fin d'analyse /!\
Clique sur "Appliquer toutes les actions "

Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
Enregistre ce fichier texte sur ton bureau ensuite colle le raport ici


supprime les fichiers inutiles (fichiers temporaire , cookies .. ect avec ceci

Ccleaner
https://www.malekal.com/tutoriel-ccleaner/


bon netoyage et bon courage :)

a+++++




a+++++
0
Réponse 10 / 14
pagalmaarl Messages postés 17 Date d'inscription vendredi 6 janvier 2006 Statut Membre Dernière intervention 12 mars 2007
4 mars 2007 à 18:33
J'ai tout fait (ce fut long) mais j'ai tjs le meme probleme. voici le rapport de avg

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 18:07:43 04/03/2007

+ Résultat de l'analyse:



C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP3\A0007195.dll -> Adware.BHO : Nettoyé et sauvegardé (mise en quarantaine).
C:\Poker\Poker 770\_SetupPoker.exe -> Adware.Casino : Nettoyé et sauvegardé (mise en quarantaine).
C:\SetupPoker.exe -> Adware.Casino : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP3\A0007194.dll -> Adware.VB : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP4\A0017344.exe -> Backdoor.IRCBot.xn : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP4\A0027386.exe -> Backdoor.Mytobor.e : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP4\A0031405.exe -> Backdoor.Mytobor.e : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\3I2XNNTL\84785_nttpm[1].exe -> Backdoor.Mytobor.e : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\3I2XNNTL\84785_nttpm[2].exe -> Backdoor.Mytobor.e : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\7VGLYWCB\84785_nttpm[1].exe -> Backdoor.Mytobor.e : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\7VGLYWCB\84785_nttpm[2].exe -> Backdoor.Mytobor.e : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\dllcache\__delete_on_reboot__s_e_a_g_a_t_e_c_o_m_._e_x_e_ -> Backdoor.Mytobor.e : Nettoyé et sauvegardé (mise en quarantaine).
C:\1.vbs -> Downloader.Small.az : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\7VGLYWCB\yimcksaemj[1].txt -> Downloader.Small.ehs : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP2\A0003130.exe -> Hijacker.Agent.is : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP3\A0004199.exe -> Hijacker.Agent.is : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP3\A0005137.exe -> Hijacker.Agent.is : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP3\A0005153.exe -> Hijacker.Agent.is : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP4\A0013319.exe -> Hijacker.Agent.is : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\FSTV64R2\cqriqhchc[1].htm -> Hijacker.Agent.is : Nettoyé et sauvegardé (mise en quarantaine).
C:\ecmuy.exe -> Hijacker.Agent.is : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP3\A0005156.dll -> Proxy.Dlena.cb : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\7VGLYWCB\gulpxc[1].htm -> Proxy.Dlena.cb : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts -> Proxy.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP3\A0007167.dll -> Trojan.Agent.acl : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Fichiers communs\delsim\del.exe -> Trojan.Dialer.fn : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP3\A0004202.exe -> Trojan.Dialer.fn : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP3\A0005128.exe -> Trojan.Dialer.fn : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP3\A0005129.exe -> Trojan.Dialer.fn : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP3\A0005144.exe -> Trojan.Dialer.fn : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{373B7AB7-C560-4B33-96C8-50178E50C8EE}\RP3\A0005145.exe -> Trojan.Dialer.fn : Nettoyé et sauvegardé (mise en quarantaine).
C:\gx.exe -> Trojan.Dialer.fn : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

et un hijckthids:

Logfile of HijackThis v1.99.1
Scan saved at 18:27:49, on 04/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\WINDOWS\System32\algose32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Documents and Settings\Propriétaire\Bureau\abcd.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinCast] G:\SETUP.EXE -lfra
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - Unknown owner - E:\Nouveau dossier\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe (file missing)
O23 - Service: Sandra Service (SandraTheSrv) - Unknown owner - E:\Nouveau dossier\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe (file missing)
O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe (file missing)
0
Réponse 11 / 14
salwa5 Messages postés 7452 Date d'inscription jeudi 30 novembre 2006 Statut Contributeur Dernière intervention 18 août 2012 1 643
4 mars 2007 à 18:47
bonjour quelque fichier n'ont pas été supprimé


Double clic sur killbox.exe (Pocket Killbox)

- coche: delete on reboot: qui veut dire = ( supprimer au demarrage)
- Dans "Full Path of File to Delete"
copie et colle:

C:\WINDOWS\System32\rpcc.dll


- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation de suppression clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES

Si ce message s’affiche ignore le :
http://tinypic.com/images/goodbye.jpg
Laisse le pc redémarrer ou redemarre manuellement s il le fait pas.

tu fait pareil avec ce fichier

C:\WINDOWS\System32\algose32.exe

puis post un nouveau hijack

a+++
0
Réponse 12 / 14
pagalmaarl Messages postés 17 Date d'inscription vendredi 6 janvier 2006 Statut Membre Dernière intervention 12 mars 2007
12 mars 2007 à 13:25
Bonjour, retour de vacance et poursuite du meme probleme.

Voici les symptomes: NTKRNL a disparu, ça c'est bon, mais j'ai maintenat un gros probleme que j'avais deja:

Lorsque j' allume le pc, j'ai au bout de 2 3 min un message d'erreur qui s'affiche du style : votre ordinateur doit etre arrté a cause du fichier issas.exe dans le répertoire windows. J'ai un décompte d'une minute qui s'afiche et apres l'ordi s'eteind. Je sais que via execute je peux faire disparaitre ce message et eviter que l'ordi s'éteigne, mais cela ne résoud rien.
Le probleme est que lorsque je vais sur internet ou sur mon bureau les applications se bloquent au bout de 4 min, m'obligeant à redemarer l'ordi manuellement. Impossible d'acceder aussi au gestionnaire des teches (ctr alt supp), impossible d'ouvrir le controleur de volume et impossible de me connecter à windows update.
De plus il me fout en l'air ma connexiion wifi (deconnect tte les 30 sec).
La navigation est donc impossible, je suis obligé de redémarer mon ordi tte les 5 min.

Voici le dernier rapport hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 13:14:45, on 12/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\Propriétaire\Bureau\abcd.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinCast] G:\SETUP.EXE -lfra
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Offices Monitorse] C:\WINDOWS\System32\algose32.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - Unknown owner - E:\Nouveau dossier\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe (file missing)
O23 - Service: Sandra Service (SandraTheSrv) - Unknown owner - E:\Nouveau dossier\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe (file missing)
O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe (file missing)
0
Réponse 13 / 14
pagalmaarl Messages postés 17 Date d'inscription vendredi 6 janvier 2006 Statut Membre Dernière intervention 12 mars 2007
12 mars 2007 à 14:33
Nouvelle découverte, j'ai lancé une analyse en ligne via secuser.com, il m'a détecté pres de 600 WORM ALLAPLE.C. Je pense que c'est ce vers qui me bloque tout. Comment faire pour le supprimer sans formater le disque dur. J'ai vu sur ce forum un type qui avait le meme probleme que moi (7 mars 2007) et qui a mis son message en résolu, mais il explique pas comment.....
0
Réponse 14 / 14
salwa5 Messages postés 7452 Date d'inscription jeudi 30 novembre 2006 Statut Contributeur Dernière intervention 18 août 2012 1 643
12 mars 2007 à 16:31
bonjour - Télécharge eScan Antivirus Toolkit https://www.malekal.com/tutorial-escan-antivirus-toolkit/

Redémarre en mode sans échec, pour cela :
redémarre l'ordinateur, avant le logo windows, tapote sur la touche F8, un menu va apparaître, choisis:
mode sans échec avec prise en charge du réseau.

- Installe le dans le dossier C:\Kaspersky
- Rends toi dans le dossier C:\Kaspersky et double-clic sur kavupd.exe pour le mettre à jour
- Ouvre le dossier C:\Kaspersky
- double-clique sur le fichier mwavscan.com
- Coche les options comme indiquées sur cette page https://www.malekal.com/fichiers/eScan/eScan3.png
- puis en bas à droite, clic sur Scan Clean pour démarrer le scan
- A la fin du scan clic sur le bouton view log, enregistre le fichier à l'endroit que tu le souhaites

- Redémarre l'ordinateur
- Copie/colle le contenu le rapport de scan que tu as sauvegardé

a+++
0

Discussions similaires

Se connecter à FreeWifi_secure sans carte SIM
nico201214 -
ZeldaAndLink -

5 réponses
Code Free Wifi Secure : comment en récupérer
Coralie -
jee pee -

8 réponses
Sites sans 3D secure
killiandh10 -
killiandh10 -

1 réponse
obtenir un code Free Wifi_secure
divoid -
kikijcl49 -

5 réponses
Comment se connecté à FreeWifi_Secure sur un PC ?
fred -
kaumune -

12 réponses