[NTOS.EXE] Help !
Résolu/Fermé
broots
Messages postés
30
Date d'inscription
mardi 5 décembre 2006
Statut
Membre
Dernière intervention
27 juin 2010
-
15 avril 2007 à 16:17
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 13 juin 2009 à 12:19
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 13 juin 2009 à 12:19
16 réponses
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
15 avril 2007 à 20:50
15 avril 2007 à 20:50
Salut,
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
broots
Messages postés
30
Date d'inscription
mardi 5 décembre 2006
Statut
Membre
Dernière intervention
27 juin 2010
15 avril 2007 à 16:19
15 avril 2007 à 16:19
pour info, j'ai essayé de fixer les 2 lignes :
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
sans succès, ça revient à chaque fois :(
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
sans succès, ça revient à chaque fois :(
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
2 juin 2007 à 13:37
2 juin 2007 à 13:37
Bonjour Anita,
Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm
A bientôt
Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm
A bientôt
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
16 juin 2007 à 20:27
16 juin 2007 à 20:27
Salut Bertold
Et si la personne qui a posté le 1er message revient? Ben on sera 2 sur le même poste !
Déjà; si tu avais lu la charte du forum, tu aurais vu que c est chacun son probleme et ne pas squatter le poste qui a été créé par qqun d autre !
T'as ta mentalité? Avant de parler, agit pour tous les internautes !
Et si la personne qui a posté le 1er message revient? Ben on sera 2 sur le même poste !
Déjà; si tu avais lu la charte du forum, tu aurais vu que c est chacun son probleme et ne pas squatter le poste qui a été créé par qqun d autre !
T'as ta mentalité? Avant de parler, agit pour tous les internautes !
Ben justement c'est dans cet esprit que j'ai posté
NTOS est un problème assez grave pour que ce post SOIT pour Tous les internautes
Ntos c'est pas chacun son problème , ce malware est partout , je m'en suis déjà débarassé plusieurs fois grace à toi et à SDfix
et si ce post est que pour le premier posteur, moi , Anita et tous les autres internautes on a plus qu'à se faire Harakiri, Seppuku, se pendre, se noyer et se jeter sous le train à Tchernobyl
Et c'est sûrment comme ça que la plupart des gens vont interprêter ta réaction
Désolé si je t'ai froissé, car malgré tout tu rends de grands services
NTOS est un problème assez grave pour que ce post SOIT pour Tous les internautes
Ntos c'est pas chacun son problème , ce malware est partout , je m'en suis déjà débarassé plusieurs fois grace à toi et à SDfix
et si ce post est que pour le premier posteur, moi , Anita et tous les autres internautes on a plus qu'à se faire Harakiri, Seppuku, se pendre, se noyer et se jeter sous le train à Tchernobyl
Et c'est sûrment comme ça que la plupart des gens vont interprêter ta réaction
Désolé si je t'ai froissé, car malgré tout tu rends de grands services
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
17 juin 2007 à 21:00
17 juin 2007 à 21:00
Non mais a longeur de temps (faut dire que l on perd un max de temps a repondre les memes choses) chacun son post, chacun son probleme.
Chaque cas est différent !
Tu peux avoir une infection similaire et pourtant le traitement se fera autrement ! Tu vois?
Si je dis aux autres, créé votre poste, c est evidemment pour que j aille les aider sur le poste ou leur probleme a été écrit. Si Anita me dit, j ai crée mon poste ici....ben j irais répondre la bas, tout simplement !
Donc a partir de la, tout le monde est gagnant et elle ne se noit pas ;)
D'ailleurs,a la fin de mon message, je dis bien "A bientôt" et non "adieu, au revoir", c est justement pour reproduire mon aide sur leur poste !
A+
Chaque cas est différent !
Tu peux avoir une infection similaire et pourtant le traitement se fera autrement ! Tu vois?
Si je dis aux autres, créé votre poste, c est evidemment pour que j aille les aider sur le poste ou leur probleme a été écrit. Si Anita me dit, j ai crée mon poste ici....ben j irais répondre la bas, tout simplement !
Donc a partir de la, tout le monde est gagnant et elle ne se noit pas ;)
D'ailleurs,a la fin de mon message, je dis bien "A bientôt" et non "adieu, au revoir", c est justement pour reproduire mon aide sur leur poste !
A+
Bonjour,
Bonjour,
je pense aussi etre infesté "ntos.exe", meme symptome :
- apparition d'une fenetre "enregistrer une clef privée" au démarrage de windows (j'ai lu ce que cela pouvait me couter si jamais je tapais quoique ce soit...)
- navigation internet ralentie
j'ai utilise Ad-aware ce qui a suppprimé la problématique de la fenetre
par contre, l'accès internet est très ralenti et de plus je ne peux accéder à ma boite aux lettre outlook (idem pour ma boite aux lettre yahoo)
j'ai utilisé SDFIX et c'est toujours pareil.
Ci suit le rapport SDFIX et ensuite le rapport hijack avant SDFIX et après l'éxecution de SDFIX
Merci pour votre aide
jean jacques
---------------------------------------------------------------------------------------------------------------------
SDFix: Version 1.109
Run by Administrateur on 19/10/2007 at 23:44
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Resetting AppInit_DLLs value
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
C:\WINDOWS\SYSTEM32\TMP_4Q~1.DLL - Deleted
C:\F.TMP - Deleted
C:\Documents and Settings\jean jacques\Local Settings\Temp\stdrun1.exe - Deleted
C:\Documents and Settings\jean jacques\Local Settings\Temp\stdrun3.exe - Deleted
C:\Documents and Settings\jean jacques\Local Settings\Temp\stdrun4.exe - Deleted
C:\Documents and Settings\jean jacques\Local Settings\Temp\stdrun5.exe - Deleted
C:\Documents and Settings\jean jacques\Local Settings\Temp\stdrun6.exe - Deleted
C:\Documents and Settings\LocalService\Local Settings\Temp\stdrun1.exe - Deleted
C:\Documents and Settings\NetworkService\Local Settings\Temp\stdrun1.exe - Deleted
C:\Documents and Settings\NetworkService\Local Settings\Temp\stdrun2.exe - Deleted
C:\Documents and Settings\NetworkService\Local Settings\Temp\stdrun3.exe - Deleted
C:\Documents and Settings\NetworkService\Local Settings\Temp\stdrun4.exe - Deleted
C:\WINDOWS\Temp\stdrun1.exe - Deleted
C:\WINDOWS\Temp\stdrun2.exe - Deleted
C:\WINDOWS\emdat.tm - Deleted
C:\WINDOWS\emdat.tmp - Deleted
C:\WINDOWS\system32\kr_done1 - Deleted
C:\WINDOWS\system32\ldcore.dll - Deleted
C:\WINDOWS\system32\ldinfo.ldr - Deleted
C:\WINDOWS\tcb.pmw - Deleted
Folder C:\WINDOWS\system32\wsnpoem - Removed
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
:lzx32.sys 65568
Total size: 65568 bytes.
system32: deleted 65568 bytes in 1 streams.
Checking for remaining Streams
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Mindscape\\Web Creator Pro 3\\FTPCopyDir.exe"="C:\\Program Files\\Mindscape\\Web Creator Pro 3\\FTPCopyDir.exe:*:Enabled:FTPCopyDir"
"C:\\totalcmd\\TOTALCMD.EXE"="C:\\totalcmd\\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"
"C:\\Program Files\\EasyPHP1-7\\apache\\apache.exe"="C:\\Program Files\\EasyPHP1-7\\apache\\apache.exe:*:Enabled:apache"
"C:\\Program Files\\Messenger\\Msmsgs.exe"="C:\\Program Files\\Messenger\\Msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Disabled:Ex‚cuter une DLL en tant qu'application"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. The whole world can talk for free."
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files:
---------------
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes:
Tue 16 Oct 2007 47,807 ..SHR --- "C:\WINDOWS\system32\1036f.exe"
Mon 6 Nov 2006 40,973 ..SH. --- "C:\WINDOWS\system32\efcyyxv.dll"
Tue 24 Feb 2004 107,520 ...H. --- "C:\DATA\PM\PROJECT MANAGEMENT\~WRL0007.tmp"
Wed 26 Oct 2005 249,856 A..H. --- "C:\DATA 1\Training\eRoom\~WRL1964.tmp"
Wed 7 Dec 2005 24,576 A..H. --- "C:\DATA 1\WORK\BIG DEAL\~WRL0476.tmp"
Mon 28 Nov 2005 21,504 A..H. --- "C:\DATA 1\WORK\BIG DEAL\~WRL0536.tmp"
Wed 7 Dec 2005 25,088 A..H. --- "C:\DATA 1\WORK\BIG DEAL\~WRL1416.tmp"
Wed 7 Dec 2005 24,576 A..H. --- "C:\DATA 1\WORK\BIG DEAL\~WRL3407.tmp"
Thu 6 Jul 2006 1,014,784 A..H. --- "C:\DATA 1\WORK\INFRAEXT\~WRL1548.tmp"
Thu 6 Jul 2006 1,154,048 A..H. --- "C:\DATA 1\WORK\INFRAEXT\~WRL1554.tmp"
Mon 10 Apr 2006 70,656 A..H. --- "C:\DATA 1\WORK\ROHS\~WRL2138.tmp"
Fri 7 Apr 2006 68,096 A..H. --- "C:\DATA 1\WORK\ROHS\~WRL3732.tmp"
Mon 2 Oct 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 13 Oct 2006 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv13.bak"
Wed 29 Nov 2006 25,600 A..H. --- "C:\DATA\JJM CREATION\6 JJM CREATION DE SITES WEB\Doc Joomla VirtueMart\~WRL0662.tmp"
Sun 11 Mar 2007 67,584 A..H. --- "C:\DATA\PM\COACHING\INFO RECUP DIDASCALIS FORMATION\~WRL0144.tmp"
Sun 11 Mar 2007 27,136 A..H. --- "C:\DATA\PM\COACHING\INFO RECUP DIDASCALIS FORMATION\~WRL3553.tmp"
Sun 11 Mar 2007 23,552 A..H. --- "C:\DATA\PM\COACHING\INFO RECUP DIDASCALIS FORMATION\~WRL3585.tmp"
Sun 11 Mar 2007 22,528 A..H. --- "C:\DATA\PM\COACHING\INFO RECUP DIDASCALIS FORMATION\~WRL3902.tmp"
Mon 5 Mar 2007 4,482,560 ...H. --- "C:\DATA\PM\PROJECT MANAGEMENT\PMP\~WRL2083.tmp"
Mon 20 Oct 2003 50,176 A..H. --- "C:\DATA 1\TEIDE3\ERSKINE\Archive\~WRL0257.tmp"
Tue 9 May 2006 74,240 ...H. --- "C:\DATA\JJM NEXT\JJ and DOM\JJDOM SABAT\SABAT\~WRL0454.tmp"
Mon 8 May 2006 24,576 ...H. --- "C:\DATA\JJM NEXT\JJ and DOM\JJDOM SABAT\SABAT\~WRL1248.tmp"
Wed 11 Aug 2004 152,064 ...H. --- "C:\DATA\JJM NEXT\JJ and DOM\JJDOM SABAT\SABAT\~WRL1740.tmp"
Mon 2 Aug 2004 148,480 ...H. --- "C:\DATA\JJM NEXT\JJ and DOM\JJDOM SABAT\SABAT\~WRL1784.tmp"
Thu 6 Nov 2003 25,088 A..H. --- "C:\DATA 1\TEIDE3\ERSKINE\Stirling\archive\~WRL1034.tmp"
Fri 7 Nov 2003 26,112 A..H. --- "C:\DATA 1\TEIDE3\ERSKINE\Stirling\archive\~WRL1384.tmp"
Sat 29 May 2004 109,568 A..H. --- "C:\DATA JJ\PHOTOS\PHOTOS SAVE\PHOTOS\Training photo\~WRL1324.tmp"
Fri 2 Dec 2005 4,348 A..H. --- "C:\Documents and Settings\jean jacques\Mes documents\Ma musique\License Backup\drmv1key.bak"
Thu 29 Jun 2006 401 A..H. --- "C:\Documents and Settings\jean jacques\Mes documents\Ma musique\License Backup\drmv1lic.bak"
Fri 2 Dec 2005 312 A..H. --- "C:\Documents and Settings\jean jacques\Mes documents\Ma musique\License Backup\drmv2key.bak"
Thu 29 Jun 2006 1,536 A..H. --- "C:\Documents and Settings\jean jacques\Mes documents\Ma musique\License Backup\drmv2lic.bak"
Mon 2 Oct 2006 4,348 ...H. --- "C:\Documents and Settings\jean jacques\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Mon 2 Oct 2006 20 A..H. --- "C:\Documents and Settings\jean jacques\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Mon 2 Oct 2006 312 A.SH. --- "C:\Documents and Settings\jean jacques\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
Wed 19 Oct 2005 34,304 ...H. --- "C:\DATA\PM\LIBRARY\SHARE DRIVE\OCMP_Others\E-Production\C-Deals\OCMMISC0237-242-243_TELCEL 8-9N-9S\~WRL0001.tmp"
Fri 28 Mar 2003 39,424 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL0035.tmp"
Tue 11 Mar 2003 38,912 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL0279.tmp"
Wed 12 Mar 2003 174,592 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL0370.tmp"
Thu 3 Apr 2003 59,904 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL0681.tmp"
Wed 12 Mar 2003 177,152 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL0767.tmp"
Wed 12 Mar 2003 175,616 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL0826.tmp"
Thu 27 Mar 2003 23,552 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL1034.tmp"
Wed 12 Mar 2003 40,448 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL1139.tmp"
Wed 2 Apr 2003 52,224 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL1438.tmp"
Fri 28 Mar 2003 39,936 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL1459.tmp"
Thu 27 Mar 2003 22,528 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL1479.tmp"
Thu 27 Mar 2003 22,016 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL2308.tmp"
Wed 12 Mar 2003 176,128 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL2948.tmp"
Thu 6 Mar 2003 35,840 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL3060.tmp"
Tue 11 Mar 2003 33,792 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL3298.tmp"
Wed 12 Mar 2003 175,616 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL3732.tmp"
Fri 28 Mar 2003 35,840 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL3966.tmp"
Finished!
---------------------------------------------------------------------------------------------------------------------
hijack avant sdfix:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:29:39, on 19/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Club-Internet\Wizard\Agent_wifi.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe
C:\WINDOWS\system32\taskmgr.exe
C:\temp\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MPSWiFiManager] C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2454005 14
O4 - HKCU\..\Run: [TVAgent WiFi] C:\Club-Internet\Wizard\Agent_wifi.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: sltchdse.t
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: @c:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Connexion secondaire seclogonWmiApSrv (seclogonWmiApSrv) - Unknown owner - C:\WINDOWS\system32\1036f.exe
Bonjour,
je pense aussi etre infesté "ntos.exe", meme symptome :
- apparition d'une fenetre "enregistrer une clef privée" au démarrage de windows (j'ai lu ce que cela pouvait me couter si jamais je tapais quoique ce soit...)
- navigation internet ralentie
j'ai utilise Ad-aware ce qui a suppprimé la problématique de la fenetre
par contre, l'accès internet est très ralenti et de plus je ne peux accéder à ma boite aux lettre outlook (idem pour ma boite aux lettre yahoo)
j'ai utilisé SDFIX et c'est toujours pareil.
Ci suit le rapport SDFIX et ensuite le rapport hijack avant SDFIX et après l'éxecution de SDFIX
Merci pour votre aide
jean jacques
---------------------------------------------------------------------------------------------------------------------
SDFix: Version 1.109
Run by Administrateur on 19/10/2007 at 23:44
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Resetting AppInit_DLLs value
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
C:\WINDOWS\SYSTEM32\TMP_4Q~1.DLL - Deleted
C:\F.TMP - Deleted
C:\Documents and Settings\jean jacques\Local Settings\Temp\stdrun1.exe - Deleted
C:\Documents and Settings\jean jacques\Local Settings\Temp\stdrun3.exe - Deleted
C:\Documents and Settings\jean jacques\Local Settings\Temp\stdrun4.exe - Deleted
C:\Documents and Settings\jean jacques\Local Settings\Temp\stdrun5.exe - Deleted
C:\Documents and Settings\jean jacques\Local Settings\Temp\stdrun6.exe - Deleted
C:\Documents and Settings\LocalService\Local Settings\Temp\stdrun1.exe - Deleted
C:\Documents and Settings\NetworkService\Local Settings\Temp\stdrun1.exe - Deleted
C:\Documents and Settings\NetworkService\Local Settings\Temp\stdrun2.exe - Deleted
C:\Documents and Settings\NetworkService\Local Settings\Temp\stdrun3.exe - Deleted
C:\Documents and Settings\NetworkService\Local Settings\Temp\stdrun4.exe - Deleted
C:\WINDOWS\Temp\stdrun1.exe - Deleted
C:\WINDOWS\Temp\stdrun2.exe - Deleted
C:\WINDOWS\emdat.tm - Deleted
C:\WINDOWS\emdat.tmp - Deleted
C:\WINDOWS\system32\kr_done1 - Deleted
C:\WINDOWS\system32\ldcore.dll - Deleted
C:\WINDOWS\system32\ldinfo.ldr - Deleted
C:\WINDOWS\tcb.pmw - Deleted
Folder C:\WINDOWS\system32\wsnpoem - Removed
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
:lzx32.sys 65568
Total size: 65568 bytes.
system32: deleted 65568 bytes in 1 streams.
Checking for remaining Streams
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Mindscape\\Web Creator Pro 3\\FTPCopyDir.exe"="C:\\Program Files\\Mindscape\\Web Creator Pro 3\\FTPCopyDir.exe:*:Enabled:FTPCopyDir"
"C:\\totalcmd\\TOTALCMD.EXE"="C:\\totalcmd\\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"
"C:\\Program Files\\EasyPHP1-7\\apache\\apache.exe"="C:\\Program Files\\EasyPHP1-7\\apache\\apache.exe:*:Enabled:apache"
"C:\\Program Files\\Messenger\\Msmsgs.exe"="C:\\Program Files\\Messenger\\Msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Disabled:Ex‚cuter une DLL en tant qu'application"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. The whole world can talk for free."
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files:
---------------
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes:
Tue 16 Oct 2007 47,807 ..SHR --- "C:\WINDOWS\system32\1036f.exe"
Mon 6 Nov 2006 40,973 ..SH. --- "C:\WINDOWS\system32\efcyyxv.dll"
Tue 24 Feb 2004 107,520 ...H. --- "C:\DATA\PM\PROJECT MANAGEMENT\~WRL0007.tmp"
Wed 26 Oct 2005 249,856 A..H. --- "C:\DATA 1\Training\eRoom\~WRL1964.tmp"
Wed 7 Dec 2005 24,576 A..H. --- "C:\DATA 1\WORK\BIG DEAL\~WRL0476.tmp"
Mon 28 Nov 2005 21,504 A..H. --- "C:\DATA 1\WORK\BIG DEAL\~WRL0536.tmp"
Wed 7 Dec 2005 25,088 A..H. --- "C:\DATA 1\WORK\BIG DEAL\~WRL1416.tmp"
Wed 7 Dec 2005 24,576 A..H. --- "C:\DATA 1\WORK\BIG DEAL\~WRL3407.tmp"
Thu 6 Jul 2006 1,014,784 A..H. --- "C:\DATA 1\WORK\INFRAEXT\~WRL1548.tmp"
Thu 6 Jul 2006 1,154,048 A..H. --- "C:\DATA 1\WORK\INFRAEXT\~WRL1554.tmp"
Mon 10 Apr 2006 70,656 A..H. --- "C:\DATA 1\WORK\ROHS\~WRL2138.tmp"
Fri 7 Apr 2006 68,096 A..H. --- "C:\DATA 1\WORK\ROHS\~WRL3732.tmp"
Mon 2 Oct 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 13 Oct 2006 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv13.bak"
Wed 29 Nov 2006 25,600 A..H. --- "C:\DATA\JJM CREATION\6 JJM CREATION DE SITES WEB\Doc Joomla VirtueMart\~WRL0662.tmp"
Sun 11 Mar 2007 67,584 A..H. --- "C:\DATA\PM\COACHING\INFO RECUP DIDASCALIS FORMATION\~WRL0144.tmp"
Sun 11 Mar 2007 27,136 A..H. --- "C:\DATA\PM\COACHING\INFO RECUP DIDASCALIS FORMATION\~WRL3553.tmp"
Sun 11 Mar 2007 23,552 A..H. --- "C:\DATA\PM\COACHING\INFO RECUP DIDASCALIS FORMATION\~WRL3585.tmp"
Sun 11 Mar 2007 22,528 A..H. --- "C:\DATA\PM\COACHING\INFO RECUP DIDASCALIS FORMATION\~WRL3902.tmp"
Mon 5 Mar 2007 4,482,560 ...H. --- "C:\DATA\PM\PROJECT MANAGEMENT\PMP\~WRL2083.tmp"
Mon 20 Oct 2003 50,176 A..H. --- "C:\DATA 1\TEIDE3\ERSKINE\Archive\~WRL0257.tmp"
Tue 9 May 2006 74,240 ...H. --- "C:\DATA\JJM NEXT\JJ and DOM\JJDOM SABAT\SABAT\~WRL0454.tmp"
Mon 8 May 2006 24,576 ...H. --- "C:\DATA\JJM NEXT\JJ and DOM\JJDOM SABAT\SABAT\~WRL1248.tmp"
Wed 11 Aug 2004 152,064 ...H. --- "C:\DATA\JJM NEXT\JJ and DOM\JJDOM SABAT\SABAT\~WRL1740.tmp"
Mon 2 Aug 2004 148,480 ...H. --- "C:\DATA\JJM NEXT\JJ and DOM\JJDOM SABAT\SABAT\~WRL1784.tmp"
Thu 6 Nov 2003 25,088 A..H. --- "C:\DATA 1\TEIDE3\ERSKINE\Stirling\archive\~WRL1034.tmp"
Fri 7 Nov 2003 26,112 A..H. --- "C:\DATA 1\TEIDE3\ERSKINE\Stirling\archive\~WRL1384.tmp"
Sat 29 May 2004 109,568 A..H. --- "C:\DATA JJ\PHOTOS\PHOTOS SAVE\PHOTOS\Training photo\~WRL1324.tmp"
Fri 2 Dec 2005 4,348 A..H. --- "C:\Documents and Settings\jean jacques\Mes documents\Ma musique\License Backup\drmv1key.bak"
Thu 29 Jun 2006 401 A..H. --- "C:\Documents and Settings\jean jacques\Mes documents\Ma musique\License Backup\drmv1lic.bak"
Fri 2 Dec 2005 312 A..H. --- "C:\Documents and Settings\jean jacques\Mes documents\Ma musique\License Backup\drmv2key.bak"
Thu 29 Jun 2006 1,536 A..H. --- "C:\Documents and Settings\jean jacques\Mes documents\Ma musique\License Backup\drmv2lic.bak"
Mon 2 Oct 2006 4,348 ...H. --- "C:\Documents and Settings\jean jacques\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Mon 2 Oct 2006 20 A..H. --- "C:\Documents and Settings\jean jacques\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Mon 2 Oct 2006 312 A.SH. --- "C:\Documents and Settings\jean jacques\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
Wed 19 Oct 2005 34,304 ...H. --- "C:\DATA\PM\LIBRARY\SHARE DRIVE\OCMP_Others\E-Production\C-Deals\OCMMISC0237-242-243_TELCEL 8-9N-9S\~WRL0001.tmp"
Fri 28 Mar 2003 39,424 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL0035.tmp"
Tue 11 Mar 2003 38,912 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL0279.tmp"
Wed 12 Mar 2003 174,592 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL0370.tmp"
Thu 3 Apr 2003 59,904 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL0681.tmp"
Wed 12 Mar 2003 177,152 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL0767.tmp"
Wed 12 Mar 2003 175,616 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL0826.tmp"
Thu 27 Mar 2003 23,552 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL1034.tmp"
Wed 12 Mar 2003 40,448 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL1139.tmp"
Wed 2 Apr 2003 52,224 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL1438.tmp"
Fri 28 Mar 2003 39,936 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL1459.tmp"
Thu 27 Mar 2003 22,528 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL1479.tmp"
Thu 27 Mar 2003 22,016 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL2308.tmp"
Wed 12 Mar 2003 176,128 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL2948.tmp"
Thu 6 Mar 2003 35,840 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL3060.tmp"
Tue 11 Mar 2003 33,792 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL3298.tmp"
Wed 12 Mar 2003 175,616 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL3732.tmp"
Fri 28 Mar 2003 35,840 A..H. --- "C:\DATA 1\Training\Tech\InputOutput\CTS\OSPA\Deliverables\New Folder\~WRL3966.tmp"
Finished!
---------------------------------------------------------------------------------------------------------------------
hijack avant sdfix:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:29:39, on 19/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Club-Internet\Wizard\Agent_wifi.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe
C:\WINDOWS\system32\taskmgr.exe
C:\temp\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MPSWiFiManager] C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2454005 14
O4 - HKCU\..\Run: [TVAgent WiFi] C:\Club-Internet\Wizard\Agent_wifi.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: sltchdse.t
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: @c:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Connexion secondaire seclogonWmiApSrv (seclogonWmiApSrv) - Unknown owner - C:\WINDOWS\system32\1036f.exe
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
21 oct. 2007 à 23:07
21 oct. 2007 à 23:07
Bonjour,
Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm
A bientôt
Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm
A bientôt
metis15
Messages postés
465
Date d'inscription
mardi 18 décembre 2007
Statut
Membre
Dernière intervention
27 novembre 2020
11
18 déc. 2007 à 13:16
18 déc. 2007 à 13:16
Bonjour,
j'entre dans ce fil bien que non auteur mais c'est juste pour dire qu'après 5 jours de bataille contre cette pourriture de ntos, c'est grâce à SDFix que j'ai pu enfin m'en débarrasser !!!!
j'entre dans ce fil bien que non auteur mais c'est juste pour dire qu'après 5 jours de bataille contre cette pourriture de ntos, c'est grâce à SDFix que j'ai pu enfin m'en débarrasser !!!!
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
23 déc. 2007 à 19:11
23 déc. 2007 à 19:11
Content pour toi :-)
Bonjour,
Grace à vous, j'ai réussi à nettoyer le fichier ntos.exe de mon ordinateur ; merci.
Voila le rapport :
SDFix: Version 1.124
Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\Bureau\SDFIX\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
C:\WINDOWS\system32\ntos.exe - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll.cla - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted
Folder C:\WINDOWS\system32\wsnpoem - Removed
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Grace à vous, j'ai réussi à nettoyer le fichier ntos.exe de mon ordinateur ; merci.
Voila le rapport :
SDFix: Version 1.124
Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\Bureau\SDFIX\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
C:\WINDOWS\system32\ntos.exe - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll.cla - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted
Folder C:\WINDOWS\system32\wsnpoem - Removed
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
6 janv. 2008 à 13:06
6 janv. 2008 à 13:06
Ok mais crée ton propre poste !
A+
A+
Le Trojan ntos.exe dégagé en 10 minutes... Même s'il est un peu bougon et à cheval sur ses principes (tout en son honneur), régis59 vient de me sortir d'une m... bleue par ses connaissances. Un grand merci et que la Force soit avec lui.
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
2 juil. 2008 à 16:47
2 juil. 2008 à 16:47
Salut derviche,
Content pour toi que tu ai trouvé la solution ici :-)
Au plaisir de t'aider.
A+
Content pour toi que tu ai trouvé la solution ici :-)
Au plaisir de t'aider.
A+
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
3 août 2008 à 20:41
3 août 2008 à 20:41
De rien,
A+
A+
bonsoir,
je me retrouve avec le meme problème...
Je possède BIt defender et hier soir Bit a bloqué un "trojan" , mais depuis j'ai une fenetre qui n'arrete pas d'apparaitre, cela m'inquiete et devient tre penible:
"Exportation de votre signature privée
Une application demande l'accès à un élément protégé
clé privée crypto API
ok annuler détails"
je fais pour le moment "annuler"...
POuvez vous m'en dire plus?....est ce un virus?
comment m'en debarasser....?
Je precise que j'ai voulu appliquer le mode sans echec apres avoir telecharger SDFix...mais je ne peux acceder au mode sans echec.....à savoir, dès que je fais F8, je me retrouve avec le tableau suivant:
Boot menu
Select a boot first service
-hard disk
-CD rom
-realtek boot agentn*
je ne trouve pas le mode sans echec......
merci de votre aide..
Pascal
je me retrouve avec le meme problème...
Je possède BIt defender et hier soir Bit a bloqué un "trojan" , mais depuis j'ai une fenetre qui n'arrete pas d'apparaitre, cela m'inquiete et devient tre penible:
"Exportation de votre signature privée
Une application demande l'accès à un élément protégé
clé privée crypto API
ok annuler détails"
je fais pour le moment "annuler"...
POuvez vous m'en dire plus?....est ce un virus?
comment m'en debarasser....?
Je precise que j'ai voulu appliquer le mode sans echec apres avoir telecharger SDFix...mais je ne peux acceder au mode sans echec.....à savoir, dès que je fais F8, je me retrouve avec le tableau suivant:
Boot menu
Select a boot first service
-hard disk
-CD rom
-realtek boot agentn*
je ne trouve pas le mode sans echec......
merci de votre aide..
Pascal
2 juin 2007 à 07:46
Merci pour la réponse...
13 juin 2009 à 12:11
Ta solution marche très bien, mais lorque j'ai éteind et rallumé mon ordinateur, le problème est réapparu... J'ai donc du refaire toute l'opération encore une fois.
Voilà mon fichier report, peut être pourras-tu m'aider!!
Merci d'avance!
[b]SDFix: Version 1.240 [/b]
Run by Kr„henbhl on 13/06/2009 at 10:51
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
No Trojan Files Found
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-13 10:57:41
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:47,12,20,2c,e2,9f,39,82,f6,5b,cb,3b,0b,ca,c1,b7,6a,a6,3a,13,a9,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:47,12,20,2c,e2,9f,39,82,f6,5b,cb,3b,0b,ca,c1,b7,6a,a6,3a,13,a9,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\Itunes\\iTunes.exe"="C:\\Program Files\\Itunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
[b]Remaining Files [/b]:
[b]Files with Hidden Attributes [/b]:
Fri 19 Nov 2004 28,672 A..H. --- "C:\WINDOWS\SEC\SECINSTALL.EXE"
Fri 27 Feb 2009 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Wed 4 Oct 2006 19,968 A..H. --- "C:\Documents and Settings\Kr„henbhl\Mes documents\Divers\~WRL0047.tmp"
Sat 21 Feb 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\699bfc4e107af4dd60cba5e3ca037019\BIT6.tmp"
Sat 21 Feb 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6d89a6842d56bdc1e9869626dde13fa3\BIT4.tmp"
Mon 8 Oct 2007 29,184 A..H. --- "C:\Documents and Settings\Kr„henbhl\Mes documents\Ma musique\partitions\~WRL0003.tmp"
Sat 7 Feb 2009 17,120 A..H. --- "C:\Documents and Settings\Kr„henbhl\Mes documents\Ecole de commerce\Double diplome\TU\Wintersemester\Cours\Marketing\Vorlesung\~WRL0003.tmp"
Wed 10 Dec 2008 91,728 A..H. --- "C:\Documents and Settings\Kr„henbhl\Mes documents\Ecole de commerce\Double diplome\TU\Wintersemester\Cours\Marketing\šbung\Compte rendus\~WRL0439.tmp"
[b]Finished![/b]
13 juin 2009 à 12:19