[Win32 Rjump] après AdobeR: série noire
hounette
-
salwa5 Messages postés 7552 Statut Contributeur -
salwa5 Messages postés 7552 Statut Contributeur -
Bonjour,
Je n'ai jamais eu de virus en 2 ans et depuis un mois c'est l'invasion.
AVAST! m'a tout d'abord trouvé Adober.exe. Ca a été la branle-bàs de combat pendant 2 jours mais j'ai pu m'en sortir grâce au forum et apparement il n'est plus dans la boîte bien que ça reste une enigme: je n'ai pas trouvé le fichier autorun.in!
Après cet intense épisode, je pensais être tranquille mais que nenni. AVAST! (dont je doute sérieusement) m'a trouvé 4 fichiers infectés de Win32 Rjump:
trz8C.tmp dans C:\WINDOWS
trz37.tmp dans C:\WINDOWS
A0119903.exe dans C:\System Volume Information\_restore{20F508DD-556D-4780-869F-D1CE4C742FF6}\RP356\
A0114244.exe dans C:\System Volume Information\_restore{20F508DD-556D-4780-869F-D1CE4C742FF6}\RP353\
J'ai suivi les conseils mais je sèche: je ne sais pas quoi faire avec le log hijackThis que voici :(
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:50:19, on 03/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\My Book\WD Backup\uBBMonitor.exe
C:\Program Files\802.11 Wireless LAN\WlanMonitor.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\houhou session\Bureau\HiJackThis_v2.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Moniteur & Configuration.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WD Backup Monitor.lnk = C:\Program Files\My Book\WD Backup\uBBMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{05BDBE56-DD84-4DDE-A246-40716630E06B}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{05BDBE56-DD84-4DDE-A246-40716630E06B}: NameServer = 192.168.0.1
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Si vous avez quelques conseils sur la marche à suivre pour me débarasser de ce virus, je suis preneuse. N'hésitez pas si vous avez des avis concernant les antivirus, je suis à la recherche d'un remplaçant d'Avast (on m'a parlé de Panda payant, s'assure t'on vraiment la sécurité avec les antivirus payant?)
Voilà, merci d'avance pour votre aide à tous et bonne journée
Hounette
Je n'ai jamais eu de virus en 2 ans et depuis un mois c'est l'invasion.
AVAST! m'a tout d'abord trouvé Adober.exe. Ca a été la branle-bàs de combat pendant 2 jours mais j'ai pu m'en sortir grâce au forum et apparement il n'est plus dans la boîte bien que ça reste une enigme: je n'ai pas trouvé le fichier autorun.in!
Après cet intense épisode, je pensais être tranquille mais que nenni. AVAST! (dont je doute sérieusement) m'a trouvé 4 fichiers infectés de Win32 Rjump:
trz8C.tmp dans C:\WINDOWS
trz37.tmp dans C:\WINDOWS
A0119903.exe dans C:\System Volume Information\_restore{20F508DD-556D-4780-869F-D1CE4C742FF6}\RP356\
A0114244.exe dans C:\System Volume Information\_restore{20F508DD-556D-4780-869F-D1CE4C742FF6}\RP353\
J'ai suivi les conseils mais je sèche: je ne sais pas quoi faire avec le log hijackThis que voici :(
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:50:19, on 03/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\My Book\WD Backup\uBBMonitor.exe
C:\Program Files\802.11 Wireless LAN\WlanMonitor.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\houhou session\Bureau\HiJackThis_v2.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Moniteur & Configuration.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WD Backup Monitor.lnk = C:\Program Files\My Book\WD Backup\uBBMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{05BDBE56-DD84-4DDE-A246-40716630E06B}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{05BDBE56-DD84-4DDE-A246-40716630E06B}: NameServer = 192.168.0.1
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Si vous avez quelques conseils sur la marche à suivre pour me débarasser de ce virus, je suis preneuse. N'hésitez pas si vous avez des avis concernant les antivirus, je suis à la recherche d'un remplaçant d'Avast (on m'a parlé de Panda payant, s'assure t'on vraiment la sécurité avec les antivirus payant?)
Voilà, merci d'avance pour votre aide à tous et bonne journée
Hounette
A voir également:
- [Win32 Rjump] après AdobeR: série noire
- Trojan win32 - Forum Virus
- Puabundler win32 rostpay ✓ - Forum Antivirus
- Puadimanager win32/offercore ✓ - Forum Virus
- PUA:Win32/InstallCore detecté par windows sécurité ✓ - Forum Virus
- Win32 pup gen ✓ - Forum Linux / Unix
8 réponses
bonjour telecharge et executes
AVG anti spyware
https://www.01net.com/telecharger/
(n'oublie pas de le mettre a jour avant de lancer le scan)
Relance AVG AS puis choisis l'onglet "Analyse"
Puis l'onglet "Paramètres"
Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
/!\ Si un fichier est infecté en fin d'analyse /!\
Clique sur "Appliquer toutes les actions "
Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
Enregistre ce fichier texte sur ton bureau ensuite colle le raport ici
supprime les fichiers inutiles (fichiers temporaire , cookies .. ect avec ceci
Ccleaner
https://www.malekal.com/tutoriel-ccleaner/
comme antivirus payant je te conseille kaspersky ou bitedefender
a+++
AVG anti spyware
https://www.01net.com/telecharger/
(n'oublie pas de le mettre a jour avant de lancer le scan)
Relance AVG AS puis choisis l'onglet "Analyse"
Puis l'onglet "Paramètres"
Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
/!\ Si un fichier est infecté en fin d'analyse /!\
Clique sur "Appliquer toutes les actions "
Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
Enregistre ce fichier texte sur ton bureau ensuite colle le raport ici
supprime les fichiers inutiles (fichiers temporaire , cookies .. ect avec ceci
Ccleaner
https://www.malekal.com/tutoriel-ccleaner/
comme antivirus payant je te conseille kaspersky ou bitedefender
a+++
bonsoir les antispyware sont compatible entre eux mais par contre il faut desinstaller avast avant d'installer un nouveau antivirus car il risque d'y avoir un conflit
fait un scan en ligne bitdefender ensuite colle le raport ici
http://www.bwm-mediasoft.com
a+++
fait un scan en ligne bitdefender ensuite colle le raport ici
http://www.bwm-mediasoft.com
a+++
Salut
désolée pour ce timing j'ai de plus en plus de mal à avoir le net. Je te joinds le rapport bitdefender qui n'a rien trouvé!
BitDefender Online Scanner
Rapport d'analyse généré à: Wed, Apr 04, 2007 - 14:35:18
Voie d'analyse: C:\;D:\;
Statistiques
Temps
02:12:56
Fichiers
384173
Directoires
6378
Secteurs de boot
2
Archives
8516
Paquets programmes
3206
Résultats
Virus identifiés
0
Fichiers infectés
0
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
0
Info sur les moteurs
Définition virus
417410
Version des moteurs
AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)
Analyse des plugins
14
Archive des plugins
38
Unpack des plugins
6
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
*;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut
Aucun virus trouvé.
Mystère. En tout cas, merci d'être là.
A bientot
désolée pour ce timing j'ai de plus en plus de mal à avoir le net. Je te joinds le rapport bitdefender qui n'a rien trouvé!
BitDefender Online Scanner
Rapport d'analyse généré à: Wed, Apr 04, 2007 - 14:35:18
Voie d'analyse: C:\;D:\;
Statistiques
Temps
02:12:56
Fichiers
384173
Directoires
6378
Secteurs de boot
2
Archives
8516
Paquets programmes
3206
Résultats
Virus identifiés
0
Fichiers infectés
0
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
0
Info sur les moteurs
Définition virus
417410
Version des moteurs
AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)
Analyse des plugins
14
Archive des plugins
38
Unpack des plugins
6
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
*;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut
Aucun virus trouvé.
Mystère. En tout cas, merci d'être là.
A bientot
bonjour telecharge ceci
http://www41.websamba.com/53507/kill_autorun_vbs.rar
decompress le puis double click sur kill_autorun_vbs.bat
redemare et dit moi ce que ca donne
a+++
http://www41.websamba.com/53507/kill_autorun_vbs.rar
decompress le puis double click sur kill_autorun_vbs.bat
redemare et dit moi ce que ca donne
a+++
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut,
J'ai suivi tes instructions mais il ne se passe rien. 2 écrans noirs avec du texte en gris apparaissent mais à peine quelques secondes et ça ouvre ensuite mes documents! JE sais pas si ce que c'est censé faire en tout cas j'ai pas le temps de lire ce qu'affiche les ecrans noirs!
je refais un scan bit defender pour voir.
La suite au prochaine épisode.
a bientot
J'ai suivi tes instructions mais il ne se passe rien. 2 écrans noirs avec du texte en gris apparaissent mais à peine quelques secondes et ça ouvre ensuite mes documents! JE sais pas si ce que c'est censé faire en tout cas j'ai pas le temps de lire ce qu'affiche les ecrans noirs!
je refais un scan bit defender pour voir.
La suite au prochaine épisode.
a bientot
C:\WINDOWS
A0119903.exe dans C:\System Volume Information\_restore{20F508DD-556D-4780-869F-D1CE4C742FF6}\RP356\
meme problème que toi avec l'un des fichier de restauration
tu t'en ai débarasser comment? tu l'as suprimer depuis ta zone de quarantaine ou tu l'a désinfecter?
je ne sais pas si on peut suprimer ce genre de fichier vu que c'est un fichier d'une restauration
j'ai été obligé d'en faire une a cause d'un fichié espion présent dans la nouvelle mise a jour de windows et je pense qu'il c'est retrouvé la mais je ne sais pas si il sert au fonctionnement d'une application, windows n'est meme pa capable de se proteger!! et après il nous envoi la merde a tous :s!!
quelqu'un peut m'éclairer?
sinon ne doute pas d'avast c'est un bon antivirus, c'est juste que la c'est le moi au virus puisque meme tes mises a jour sont inféctées, avant je n'en avai pas et la deux cheval de troie + celui ci que je ne sais pas si il faut écraser
A0119903.exe dans C:\System Volume Information\_restore{20F508DD-556D-4780-869F-D1CE4C742FF6}\RP356\
meme problème que toi avec l'un des fichier de restauration
tu t'en ai débarasser comment? tu l'as suprimer depuis ta zone de quarantaine ou tu l'a désinfecter?
je ne sais pas si on peut suprimer ce genre de fichier vu que c'est un fichier d'une restauration
j'ai été obligé d'en faire une a cause d'un fichié espion présent dans la nouvelle mise a jour de windows et je pense qu'il c'est retrouvé la mais je ne sais pas si il sert au fonctionnement d'une application, windows n'est meme pa capable de se proteger!! et après il nous envoi la merde a tous :s!!
quelqu'un peut m'éclairer?
sinon ne doute pas d'avast c'est un bon antivirus, c'est juste que la c'est le moi au virus puisque meme tes mises a jour sont inféctées, avant je n'en avai pas et la deux cheval de troie + celui ci que je ne sais pas si il faut écraser
bonjour pour supprimer les fichiers qui se trouve ici dans C:\System Volume Information\_restore il faut tout simplement desactiver la restauration system comme ceci
clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique et tu redemarre
ensuite reactive la restauration car cette fonction peu etre tres utile en cas de plantage
clike droit sur post de travaille/proprietes/restauration system et la tu decoche desactiver la restauration du systeme tu applique et tu redemarre
a+++
clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique et tu redemarre
ensuite reactive la restauration car cette fonction peu etre tres utile en cas de plantage
clike droit sur post de travaille/proprietes/restauration system et la tu decoche desactiver la restauration du systeme tu applique et tu redemarre
a+++
Voilà le rapport tant attendu d'avg. Désolé ça a été un peu long faut dire qu'il à trouvé une cinquantaine de fichiers. Je croise les doigts en attendant ton verdict...
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 21:51:56 03/04/2007
+ Résultat de l'analyse:
C:\WINDOWS\system32\ANSMTP.DLL -> Logger.Bancos : Nettoyé.
:mozilla.7:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.8:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\houhou session\Cookies\houhou_session@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.10:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.11:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.12:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.13:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.14:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.15:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.6:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.9:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.21:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.22:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.32:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Com : Nettoyé.
:mozilla.157:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.158:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.159:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.48:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
:mozilla.59:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.60:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.95:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Overture : Nettoyé.
:mozilla.97:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Overture : Nettoyé.
:mozilla.100:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Qksrv : Nettoyé.
:mozilla.99:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Qksrv : Nettoyé.
:mozilla.106:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.107:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.108:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.109:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.110:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.28:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\houhou session\Cookies\houhou_session@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\houhou session\Cookies\houhou_session@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.160:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyé.
:mozilla.161:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Sitestat : Nettoyé.
:mozilla.111:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.112:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.170:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.215:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.216:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.217:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\houhou session\Cookies\houhou_session@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.120:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Specificclick : Nettoyé.
:mozilla.121:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Specificclick : Nettoyé.
:mozilla.122:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Specificclick : Nettoyé.
:mozilla.123:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Specificclick : Nettoyé.
:mozilla.132:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.133:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.134:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.135:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\houhou session\Cookies\houhou_session@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\houhou session\Cookies\houhou_session@m.webtrends[2].txt -> TrackingCookie.Webtrends : Nettoyé.
:mozilla.145:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.146:C:\Documents and Settings\houhou session\Application Data\Mozilla\Firefox\Profiles\1kfspmpr.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
Encore merci pour ta disponibilité
A bientot :)