Sujet Précédent Sujet Suivant

[Virus] Infecté avec Trojan Skintrim

Fermé
lolaweb Messages postés 59 Date d'inscription mercredi 7 mars 2007 Statut Membre Dernière intervention 5 janvier 2010 - 7 mars 2007 à 10:09
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 9 mars 2007 à 11:08
Bonjour,
Malgré mes recherches et déjà pas mal de scans, j'ai découvert que j'étais infectée avec le Trojan skintrim et je ne parviens pas à supprimer ce virus.
Je ne suis pas une pro de l'informatique mais je me débrouille quand même un peu. Pouvez-vous m'aider avec ce problème.
Meric à tous

81 réponses

Précédent
Réponse 61 / 81
lolaweb Messages postés 59 Date d'inscription mercredi 7 mars 2007 Statut Membre Dernière intervention 5 janvier 2010 1
8 mars 2007 à 10:57
ok tout est fait
0
Réponse 62 / 81
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 mars 2007 à 11:20
Re,

Restauration du registre sauvegardé sur le bureau:
- sélectionnez votre fichier ( du nom que vous lui avez donné ) de sauvegarde, qui porte l'extension .reg
( me confirmer si c'est bien comme ça, SVP )
0
Réponse 63 / 81
lolaweb Messages postés 59 Date d'inscription mercredi 7 mars 2007 Statut Membre Dernière intervention 5 janvier 2010 1
8 mars 2007 à 11:31
comment voit -on qu'il porte l'extension .reg ?
je l'ai nommé hier clés registre ok en ayant fait une sauvegarde
0
Réponse 64 / 81
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 mars 2007 à 11:33
Clic droit , puis propriétés
Qu'est-ce que ça livre ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 65 / 81
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 mars 2007 à 11:43
Continue comme ceci:

- Faites un double-clique dessus ( sur l'icône du fichier de sauvegarde sur bureau ) et confirmer la restauration du registre ( en répondant OUI ).


Registre ( autorisations ) :
Donnez-vous les autorisations pour accéder aux fonctions.
"Démarrer" > "Exécuter" > "regedit" > OK ==> l'éditeur de registre s'ouvre.
Menu "Edition" > " Autorisations "> Utilisateur = ligne administrateur > "autorisations pour Administrateurs" ==> cochez les cases actives « autoriser »
Avec ça, vous devez pouvoir effacer ce qui est nécessaire ( dont la valeur dans le panneau de droite ).

Tu peux commencer les recherches de Norton/Symantec comme hier soir , et tu supprimes étape par étape ce qui se met en surbrillance.
Note bien tout ce qui ne se supprime pas ( comme hier )
N'hésite pas à confirmer par captures écran des éléments récalcitrants.


Je reviens d'ici 30 minutes
0
Réponse 66 / 81
lolaweb Messages postés 59 Date d'inscription mercredi 7 mars 2007 Statut Membre Dernière intervention 5 janvier 2010 1
8 mars 2007 à 11:44
http://img137.imageshack.us/img137/3516/sanstitrejc2.jpg
0
Réponse 67 / 81
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 mars 2007 à 12:46
Re,

Désolé.
Je repasse ici dans une bonne heure.

Oui, c'est sur l'icône que tu as montré qu'il faut faire double-clic pour l'exécuter ; et répondre OUI à la question de fusionner.


Après la recherche dans l'éditeur, et m'en rapporter les détails, poster un nouveau log HJT .

à+..
Al.
0
Réponse 68 / 81
lolaweb Messages postés 59 Date d'inscription mercredi 7 mars 2007 Statut Membre Dernière intervention 5 janvier 2010 1
8 mars 2007 à 13:16
j'ai un problème il répond
Menu "Edition" > " Autorisations "> Utilisateur = ligne administrateur > "autorisations pour Administrateurs" ==> cochez les cases actives « autoriser »
Autorisations est grisé, je ne peut pas aller sur le fonction autorisations pour Administrateurs
de plus Impossible d'importer C:\Documents and Settings\HP_Administrateur\Bureau\cles registre ok.reg : toutes les données n'ont pas été inscrites correctement dans le registre. Certaines clés sont ouvertes par le système ou par d'autres processus
0
Réponse 69 / 81
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 mars 2007 à 14:00
Re,

1°- Le fichier de sauvegarde avait-il bien été construit ainsi :

Sauvegarde de toute la base de registre :
• Cliquez sur Démarrer / Exécuter
• Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ».
• Ne sélectionnez rien d'autre que ( = mettre en surbrillance ) le « Poste de travail ».
( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres )

• Dans le menu « Fichier » cliquez sur « Exporter.... »
• Dans « Enregistrer dans », spécifier le dossier de sauvegarde. C’est-à-dire :
• Dans le champ Nom de fichier : tapez le nom de votre fichier de sauvegarde. ex : registre
• Cochez la case « Tout ».
• Cliquez sur Enregistrer. Puis fermer le registre.

?


2°- Pour ceci:
« de plus Impossible d'importer C:\Documents and Settings\HP_Administrateur\Bureau\cles registre ok.reg : toutes les données n'ont pas été inscrites correctement dans le registre. Certaines clés sont ouvertes par le système ou par d'autres processus »

Quitte la session internet en cours.
Qu'il ne te reste que le bureau.


3°- As-tu toujours cette clé :
[HKEY_LOCAL_MACHINE\SOFTWARE/MICROSOFT\SECURITY CENTER\MONITORING] , MONITORING ??


Merci
Al.
0
Réponse 70 / 81
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 mars 2007 à 14:03
( Suite )

Aucun pare-feu actif n'a été trouvé sur votre système
Alors corrige ce défaut.

•- télécharge-le ici
http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe

•- Ensuite, quitter Internet ( IE ) pour lancer l'installation de ce pare-feu. Pour cela:

- tu dois impérativement couper la connexion de ton modem (débranche-le),
- ensuite installer ce pare-feu téléchargé en C:\ .
- et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé - si non, fais-le manuellement-)
- tu lances alors l'installation ( ça devient urgent !!! )
- et l'activer
- et enfin si tout s'est bien déroulé, rétablir ta connexion à Internet. .
- Eventuellement mettre à jour Kério.

-Tutorials: pour configurer et comprendre l'utilisation de Kerio
-< http://kerio.probb.fr/Securiser-et-desinfecter-c6/Configurer-parametrer-Kerio-4-version-gratuite-f2/Tutoriel-pour-Kerio-43635-p1012.htm > Merci Boulepate.
Ou aussi - http://www.chez.com/leppa/scripts/kpfV4.html

Pour le pare-feu Windows,
- Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver".
- Mais il ne suffit pas de le désactiver... sinon effectivement il émet en permanence des alertes
- Il faut que tu ailles dans panneau configuration -> centre sécurité
- Sur la page qui s'ouvre en cliquant sur l'écusson "centre de contrôle Windows" ( où qu'il se trouve ) : < http://img332.imageshack.us/img332/1042/screenshot086rg4.gif > tu cliques l'encadré, « Modifier la façon dont le centre de sécurité me prévient »
- Tu obtiens ceci < http://img67.imageshack.us/img67/1192/screenshot087vf7.gif >
où tu ne coches aucune case ( donc tu ne reçois pas d'alerte, puisque tu ne demandes pas au "centre de contrôle Windows" de surveiller des protections )
0
Réponse 71 / 81
lolaweb Messages postés 59 Date d'inscription mercredi 7 mars 2007 Statut Membre Dernière intervention 5 janvier 2010 1
8 mars 2007 à 14:22
Pour ce qui est de la première réponse, j'ai bien suivi le tuto pour sauvegarder le registre ( mais je ne me souviens plus du tout de cette case "Tout") je pense que j'ai bien suivi le process car je sais que c'est important, donc normalement je l'ai fait correctement.

2° j'ai bien Quitter la session internet en cours.
et il ne reste que le bureau mais toujours même réponse
Impossible d'importer C:\Documents and Settings\HP_Administrateur\Bureau\cles registre ok.reg : toutes les données n'ont pas été inscrites correctement dans le registre. Certaines clés sont ouvertes par le système ou par d'autres processus

3°- Pour la clé :
[HKEY_LOCAL_MACHINE\SOFTWARE/MICROSOFT\SECURITY CENTER\MONITORING] , MONITORING
a gauche en sous dossier de Monitoring, il y a :
-AhnlabAntivirus
-ComputerAssociatesAntivirus
-KasperskyAntivirus
-McAfeeAntivirus
-McAfeeFirewall
-PandaAntivirus
-PandaFirewall
-SophosAntivirus
-SymantecAntivirus
-SymantecFirewall
-TinyFirewall
-TrendAntivirus
-TrendFirewall
-ZonelabsFirewall

SymantecAntivirus et SymantecFirewall, je les avais supprimé mais ils sont de nouveau là.
0
Réponse 72 / 81
lolaweb Messages postés 59 Date d'inscription mercredi 7 mars 2007 Statut Membre Dernière intervention 5 janvier 2010 1
8 mars 2007 à 14:45
Pour le pare-feu c'est ok, il est en place et j'ai effectué tout le process comme indiqué
0
Réponse 73 / 81
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 mars 2007 à 14:52
Re,

1)- L'important dans la compréhension, est là :
« Ne sélectionnez rien d'autre que ( = mettre en surbrillance ) le « Poste de travail ».
( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres ) »
C'est ça que le "tout" signifie .

Certains pourraient en effet confondre celui ci-avant, avec celui en "démarrer" > "Poste de travail" .
Il ne s'agit que de cela.


2)- Pour ceci : [HKEY_LOCAL_MACHINE\SOFTWARE/MICROSOFT\SECURITY CENTER\MONITORING] ,
ma demande d'information est : « As-tu toujours cette clé :
[HKEY_LOCAL_MACHINE\SOFTWARE/MICROSOFT\SECURITY CENTER\MONITORING] ??
Contient-elle toujours sa sous-clé : MONITORING ??

Je ne demandais pas ce que contenait Monitoring - et pour cause , je le croyais supprimé -( quoique Monitoring exite encore puisque tu m'en donnes le contenu ! ).
Entre nous, je reste pantois devant tous ces programme; d'autant que je ne trouve aucun pare-feu sur ton PC .

As-tu la possibilité de lancer les recherches Symantec comme hier et de supprimer tout ce qui se met en surbrillance , SVP ?

Je ne sais revenir que ce soir.

Installe Kerio ( puisque HJT ne trouve aucun pare-feu actif sur ton PC )

Apparemment, il n'y a eu aucune conséquence d'éventuelle fausse manœuvre d'hier. Puisque si fausse manœuvre il y eût, elle aurait agi sur la sous-clé MONITORING qui aurait pu être supprimée; ce n'est pas le cas.

Finalement, il te faut maintenant CREER un nouveau point de restauration.
Toutes les explications sont dans ces deux tutos ( imprime-les ):
< http://perso.orange.fr/jesses/Docs/Bases/CreerRestaur.htm >



à+
0
Réponse 74 / 81
lolaweb Messages postés 59 Date d'inscription mercredi 7 mars 2007 Statut Membre Dernière intervention 5 janvier 2010 1
8 mars 2007 à 15:06
voilà le dernier rapport de HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 15:03:36, on 08/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\ARPWRMSG.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\ps2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Program Files\Fichiers communs\Gemplus\CertReg\certreg.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ScanSoft\NaturallySpeaking8\Program\natspeak.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [gemstrmw] C:\WINDOWS\system32\gemstrmw.exe /r
O4 - HKLM\..\Run: [CertReg] C:\Program Files\Fichiers communs\Gemplus\CertReg\certreg.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\ScanSoft\NaturallySpeaking8\Program\ereg.exe" -r "C:\Program Files\ScanSoft\NaturallySpeaking8\Program\ereg.ini"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Program Files\ScanSoft\NaturallySpeaking8\Program\natspeak.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (file missing)
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .csd: C:\Program Files\Gemplus\eSigner\Plugin\Npcsig.dll
O12 - Plugin for .i4t: C:\Program Files\Gemplus\eSigner\Plugin\Npcsig.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CardServer - Unknown owner - C:\Program.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

en ce qui concerne la clé monitoring, je n'ai jamis installé tous ces antivirus, je ne sais pas d'où ça sort ???
Merci encore pour votre aide. Je ne serai pas là ce soir, je pars vers 20h, mais plus tard je repasserai
0
Réponse 75 / 81
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 mars 2007 à 17:56
Re,

As-tu encore cette sous-clé ?
[-HKEY_LOCAL _MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CLTNETCNSERVICE\0000] ?

Bientôt, encore devoir stopper.
Réponds SVP
Merci
0
Réponse 76 / 81
lolaweb Messages postés 59 Date d'inscription mercredi 7 mars 2007 Statut Membre Dernière intervention 5 janvier 2010 1
8 mars 2007 à 18:03
oui je n'arrive pas à enlever ce truc, il n'y a rie à faire
0
Réponse 77 / 81
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
8 mars 2007 à 18:12
1°- Registre
a)- Sauvegarde de toute la base de registre :
• Cliquez sur Démarrer / Exécuter
• Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ».
• Ne sélectionnez rien d'autre que ( = mettre en surbrillance ) le « Poste de travail ».
( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres )
• Dans le menu « Fichier » cliquez sur « Exporter.... »
• Dans « Enregistrer dans », spécifier le dossier de sauvegarde. C’est-à-dire :
• Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1)
• Cochez la case « Tout » (si tu la vois).
• Cliquez sur Enregistrer. Puis fermer le registre.

b)- Ouvre le bloc-notes et fais un copier/coller de ce qui est en caractères gras ci-dessous (copie tout d'une traite) :

REGEDIT4

[-HKEY_LOCAL _MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CLTNETCNSERVICE\0000]
[HKEY_LOCAL_MACHINE\SOFTWARE/MICROSOFT\SECURITY CENTER\MONITORING]
"AhnlabAntivirus"=-
"ComputerAssociatesAntivirus"=-
"KasperskyAntivirus"=-
"McAfeeAntivirus"=-
"McAfeeFirewall"=-
"PandaAntivirus"=-
"PandaFirewall"=-
"SophosAntivirus"=-
"SymantecAntivirus"=-
"SymantecFirewall"=-
"TinyFirewall"=-
"TrendAntivirus"=-
"TrendFirewall"=-
"ZonelabsFirewall"=-

c)- Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

L'icône de "fix.reg" doit ressembler à cela < https://www.hiboox.com >

d)- Quitte internet et double-clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"

Si c'est bien le cas, clique sur "oui"

e)- Contrôle ensuite par une dernière recherche sous symantec.

2°- Redémarre en mode sans échec.
- Relance HJT ( Scan seulement ), coche la case devant ces lignes, et termine par clic sur le bouton radio [Fixer objets] ( en bas à gauche ) :
-R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) - Yahoo! Companion BHO
-O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) - Yahoo! Companion BHO
-O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) - Yahoo! Companion BHO
-O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
-O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE - ( "Sypware" file used surreptitiously monitor one's actions )
-O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
-O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
-O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (file missing)
-O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (file missing)
-O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - ( Symantec AntiVirus scanner )
-O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
-O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - ( Symantec AntiVirus scanner )
-O23 - Service: CardServer - Unknown owner - C:\Program.exe (file missing) - ( Added by an unidentified TROJAN! of the Sdbot family. Note: This worm\trojan is located in C: folder. )

Redémarre normalement

3°- Désactive ce CardServer ; ainsi: Pour desactiver le service, tu dois aller dans le "panneau de configuration", là tu vas dans les "outils d'administration". Une fois dans les "outils d'administration", tu choisis le raccourci "Services". A ce moment-là, tu n'as plus qu'à sélectionner le service correspondant à CardServer ; et dans les "propriétés" il y aura une page pour choisir de le désactiver, de l'activer ou de le mettre en manuel ( parfois de l'arrêter ).

4°- Exécuter ComboFix < http://www.techsupportforum.com/sectools/combofix.exe >, et poster le rapport .

À ce soir.
Al.
0
Réponse 78 / 81
lolaweb Messages postés 59 Date d'inscription mercredi 7 mars 2007 Statut Membre Dernière intervention 5 janvier 2010 1
8 mars 2007 à 19:45
bon j'ai un problème encore lorsque je fais la première procédure aprés la sauvegarde, c'est à dire b),
l'éditeur de registre me marque erreur
impossible d'importer C:\Documents and Settings\HP_Administrateur\Bureau\fix.reg :erreur d'accés au Registre
je ne comprends pas pourquoi, je suis exactement le process à la lettre
0
Réponse 79 / 81
lolaweb Messages postés 59 Date d'inscription mercredi 7 mars 2007 Statut Membre Dernière intervention 5 janvier 2010 1
8 mars 2007 à 23:32
Merci pour votre aide, je suis désolée que vous soyez malade, je vous souhaite le meilleur pour votre santé.
Fixer les lignes en HJT = ok
Désactive rce CardServer = ok
Exécuter ComboFix = ok
voici le rapport
Start Time= 08/03/2007 23:24:16,89

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-08 14:30:20 ( .D... ) "C:\Program Files\Kerio"
2007-03-07 20:35:50 73728 ( A.... ) "C:\WINDOWS\system32\sockspy.dll"
2007-03-07 20:35:30 77824 ( A.... ) "C:\WINDOWS\system32\xcomm.dll"
2007-03-07 12:44:52 ( .D... ) "C:\Program Files\WinZip"
2007-03-07 11:24:40 ( .D... ) "C:\Program Files\Hijackthis Version Fran‡aise"
2007-03-07 11:20:18 4560 ( A.... ) "C:\WINDOWS\system32\tmp.reg"
2007-03-06 14:23:08 ( .D... ) "C:\Program Files\Combined Community Codec Pack"
2007-03-06 14:22:28 119 ( A.... ) "C:\Program Files\satsukidecodersettings.ini"
2007-03-06 14:22:04 534 ( A.... ) "C:\Program Files\mpc5.reg"
2007-03-06 14:22:04 196 ( A.... ) "C:\Program Files\ffdssetts.reg"
2007-03-06 12:43:44 ( .D... ) "C:\Program Files\XP Codec Pack"
2007-03-06 12:17:54 ( .D... ) "C:\Program Files\Microsoft Works"
2007-03-06 10:48:32 ( .DS.. ) "C:\Documents and Settings\HP_Administrateur\Application Data\Microsoft"
2007-03-06 10:48:32 ( .D... ) "C:\Documents and Settings\HP_Administrateur\Application Data\Symantec"
2007-03-06 10:48:32 ( .D... ) "C:\Documents and Settings\HP_Administrateur\Application Data\Real"
2007-03-06 10:48:32 ( .D... ) "C:\Documents and Settings\HP_Administrateur\Application Data\Identities"
2007-03-02 20:55:50 ( .D... ) "C:\Program Files\Trojan Remover"
2007-03-02 09:40:06 ( .D... ) "C:\Program Files\a-squared Free"
2007-02-25 13:14:20 ( .D... ) "C:\Program Files\Eltima Software"
2007-02-25 12:27:26 ( .D... ) "C:\Program Files\Macromedia"
2007-02-06 16:45:36 ( .D... ) "C:\Program Files\K-Lite Codec Pack"
2007-01-28 14:01:00 196 ( A.... ) "C:\Documents and Settings\HP_Administrateur\Application Data\G-Force Prefs (WindowsMediaPlayer).txt"
2007-01-22 18:35:00 ( .D... ) "C:\Program Files\RamBoost XP"
2007-01-22 12:02:54 ( .D... ) "C:\Program Files\Diskeeper Corporation"
2007-01-22 11:47:12 ( .D... ) "C:\Program Files\Raxco"
2007-01-21 18:46:52 ( .D... ) "C:\Program Files\Fichiers communs\Logishrd"
2007-01-21 18:20:56 ( .D... ) "C:\Documents and Settings\HP_Administrateur\Application Data\Iomega Automatic Backup Pro"
2007-01-21 14:16:20 ( .D... ) "C:\Program Files\FTP Commander"
2007-01-21 13:55:16 ( .D... ) "C:\Program Files\Microsoft Office"
2007-01-21 13:51:36 ( .D... ) "C:\Program Files\Microsoft Office 2003 - Edition professionelle - Francais (Word,Excel,PowerPoint,Outlook,Publisher,Access,InfoPath) + FrontPage 2003 - Francais + serials"
2007-01-18 15:58:16 ( .D... ) "C:\Documents and Settings\HP_Administrateur\Application Data\WengoPhone"
2007-01-18 14:12:44 ( .D... ) "C:\Documents and Settings\HP_Administrateur\Application Data\Vidalia"
2007-01-18 13:59:34 ( .D... ) "C:\Documents and Settings\HP_Administrateur\Application Data\Tor"
2006-12-15 03:09:14 127078 ( A.... ) "C:\WINDOWS\system32\javaws.exe"
2006-12-15 01:31:06 53346 ( A.... ) "C:\WINDOWS\system32\javaw.exe"
2006-12-15 01:30:58 49248 ( A.... ) "C:\WINDOWS\system32\java.exe"


((((((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
"ftutil2"="rundll32.exe ftutil2.dll,SetWriteCacheMode"
"AlwaysReady Power Message APP"="ARPWRMSG.EXE"
"hpsysdrv"="c:\\windows\\system\\hpsysdrv.exe"
"RTHDCPL"="RTHDCPL.EXE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /installquiet /keeploaded /nodetect"
"Recguard"="C:\\WINDOWS\\SMINST\\RECGUARD.EXE"
"PS2"="C:\\WINDOWS\\system32\\ps2.exe"
"Reminder"="\"C:\\Windows\\Creator\\Remind_XP.exe\""
"HP Software Update"=hex(2):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,73,5c,\
48,50,5c,48,50,20,53,6f,66,74,77,61,72,65,20,55,70,64,61,74,65,5c,48,50,77,\
75,53,63,68,64,32,2e,65,78,65,00
"BDMCon"="c:\\progra~1\\softwin\\bitdef~1\\bdmcon.exe"
"BDOESRV"="\"C:\\Program Files\\Softwin\\BitDefender9\\bdoesrv.exe\""
"BDSwitchAgent"="\"c:\\progra~1\\softwin\\bitdef~1\\bdswitch.exe\""
"gemstrmw"="C:\\WINDOWS\\system32\\gemstrmw.exe /r"
"CertReg"="C:\\Program Files\\Fichiers communs\\Gemplus\\CertReg\\certreg.exe"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"SSBkgdUpdate"="C:\\Program Files\\Fichiers communs\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe -Embedding -boot"
"BDNewsAgent"="\"c:\\progra~1\\softwin\\bitdef~1\\bdnagent.exe\""
"DNS7reminder"="\"C:\\Program Files\\ScanSoft\\NaturallySpeaking8\\Program\\ereg.exe\" -r \"C:\\Program Files\\ScanSoft\\NaturallySpeaking8\\Program\\ereg.ini\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Check Updates for Windows Live Toolbar.job

Completion time: 08/03/2007 23:25:36,12
ComboFix ver 06.06.17 - This logfile is located at C:\ComboFix.txt

pour le registre j'attends
merci à vous
0
Réponse 80 / 81
lolaweb Messages postés 59 Date d'inscription mercredi 7 mars 2007 Statut Membre Dernière intervention 5 janvier 2010 1
9 mars 2007 à 10:29
Bonjour à vous,
j'espère que vous allez mieux...
Pour ce qui est de mon Pc, on dirait qu'il est comme neuf, il va beaucoup plus vite. Moi qui suis graphiste et qui travail avec des programmes trés lourds, c'est vraiment plus agréable. j'ai ce PC depuis 2 ans, et mis à part ce Trojan Skintrim, il n'y avait pas apparement de choses trés graves.
Il y a encore ce petit problème de clé de symantec. Est-ce que l'on peut les laisser ou est ce que cela est mauvais pour pour l'ordinateur ?
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses