Sujet Précédent Sujet Suivant

Se débarrasser de Newheur_PE

samedi Messages postés 3 Date d'inscription   Statut Membre Dernière intervention   -  
rudyrital Messages postés 6233 Statut Membre -
TOUT LES ANTIVIRUS CLASSIQUE AINSIQUE SQUARED-FREE NE LE DETECTE MEME PAS NEWHEUR_PE, SEULE NOD 32 ARRIVE A LE DETECTE MAIS LE PROBLEME C'EST QUE NOD 32 NE LE METQUE EN QUARANTAINE IL NE LE SUPPRIME PAS. COMMENT FAIRE POUR ARRIVER A LE SUPPRIMER.
MERCI D'AVANCE POUR LA REPONSE.

19 réponses

Réponse 1 / 19
rudyrital Messages postés 6233 Statut Membre 131
 
Tout d'abord Bonjour et bienvenue sur le forum d'entraide COMMENT CA MARCHE

télécharge HijackThis ici:
https://www.zebulon.fr/telechargements/securite/systeme/hijackthis.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

renomme hijackthis. en "scan" par exemple

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage
A+
0
Réponse 2 / 19
samedi
 
Merci,

ci-joint le rapport hitjackthis:

Logfile of HijackThis v1.99.1
Scan saved at 10:51:47, on 24/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WaveSoft\Compta\compta.exe
C:\hitjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [Win32] eim.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [Win32] eim.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {08F04139-8DFC-11D2-80E9-006008B066EE} (ConfigChkr Class) - https://certification.hsbc.fr/vscnfchk.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A06BE318-C096-11D4-964F-0010A4D06F69} (TeleTVA Control) - file://C:\Documents and Settings\Administrateur.CDME\Mes documents\GEGE\TeleTVA.tva
O16 - DPF: {E048642F-CB72-11D4-AC48-00E0293DB8F0} (CertiSign Control) - https://secure.fortisnet.fortisbanque.fr/webtel/certinomis/CertiSign.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cdme.local
O17 - HKLM\Software\..\Telephony: DomainName = cdme.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cdme.local
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Merci d'avance pour votre aide
0
Réponse 3 / 19
rudyrital Messages postés 6233 Statut Membre 131
 
Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
0
Réponse 4 / 19
samedi Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
 
Ci-joint le résultat de la recherche faite par navilog1-Il n'a apparement
pas trouvé de fichiers.

Merci d'avance pour votre aide pour supprimer ce virus qui est de plus en
plus virulant.

Search Navipromo version 2.0.2 commencé le 28/05/2007 à 12:00:49,47

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Administrateur.CDME\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 05/28/07 at 12:00:50.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .........................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 05/28/07 at 12:05:45 (return code = 0).

*** Recherche fichiers ***

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

*** Analyse Terminé le 28/05/2007 à 12:06:00,52 ***
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
samedi Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
 
CI-JOINT RAPPORT DES MENACES NOD32.
Date et heure Module Objet Nom Menace Action Utilisateur Info
28/05/2007 14:12:48 AMON fichier C:\WINDOWS\system32\TFTP3332 NewHeur_PE virus probablement inconnu mis en Quarantaine - supprimé AUTORITE NT\SYSTEM Un évènement s'est produit sur un nouveau fichier créé par l'application: C:\WINDOWS\System32\tftp.exe. Le fichier a été déplacé en Quarantaine. Vous pouvez fermer cette fenêtre.
28/05/2007 14:01:57 AMON fichier C:\WINDOWS\system32\TFTP1036 NewHeur_PE virus probablement inconnu mis en Quarantaine - supprimé AUTORITE NT\SYSTEM Un évènement s'est produit sur un nouveau fichier créé par l'application: C:\WINDOWS\System32\tftp.exe. Le fichier a été déplacé en Quarantaine. Vous pouvez fermer cette fenêtre.
28/05/2007 14:01:51 AMON fichier C:\System Volume Information\_restore{94241FF7-B45E-4476-B37D-20423AFD28B1}\RP4\A0006461.exe NewHeur_PE virus probablement inconnu mis en Quarantaine - supprimé AUTORITE NT\SYSTEM Un évènement s'est produit sur un fichier modifié par l'application: C:\WINDOWS\System32\svchost.exe. Le fichier a été déplacé en Quarantaine. Vous pouvez fermer cette fenêtre.
28/05/2007 11:54:19 AMON fichier C:\WINDOWS\system32\TFTP1132 NewHeur_PE virus probablement inconnu mis en Quarantaine - supprimé AUTORITE NT\SYSTEM Un évènement s'est produit sur un nouveau fichier créé par l'application: C:\WINDOWS\System32\tftp.exe. Le fichier a été déplacé en Quarantaine. Vous pouvez fermer cette fenêtre.
28/05/2007 10:59:32 AMON fichier C:\WINDOWS\system32\eim.exe NewHeur_PE virus probablement inconnu mis en Quarantaine - supprimé AUTORITE NT\SYSTEM Un évènement s'est produit sur un fichier modifié par l'application: C:\WINDOWS\System32\tftp.exe. Le fichier a été déplacé en Quarantaine. Vous pouvez fermer cette fenêtre.
28/05/2007 10:59:29 AMON fichier C:\WINDOWS\system32\TFTP3148 NewHeur_PE virus probablement inconnu mis en Quarantaine - supprimé AUTORITE NT\SYSTEM Un évènement s'est produit sur un nouveau fichier créé par l'application: C:\WINDOWS\System32\tftp.exe. Le fichier a été déplacé en Quarantaine. Vous pouvez fermer cette fenêtre.
28/05/2007 10:51:50 AMON fichier C:\WINDOWS\system32\eim.exe NewHeur_PE virus probablement inconnu mis en Quarantaine - supprimé AUTORITE NT\SYSTEM Un évènement s'est produit sur un fichier modifié par l'application: C:\WINDOWS\System32\tftp.exe. Le fichier a été déplacé en Quarantaine. Vous pouvez fermer cette fenêtre.
28/05/2007 10:51:47 AMON fichier C:\WINDOWS\system32\TFTP3652 NewHeur_PE virus probablement inconnu mis en Quarantaine - supprimé AUTORITE NT\SYSTEM Un évènement s'est produit sur un nouveau fichier créé par l'application: C:\WINDOWS\System32\tftp.exe. Le fichier a été déplacé en Quarantaine. Vous pouvez fermer cette fenêtre.

Avec mes remerciements anticipés pour votre aide...
0
Réponse 6 / 19
rudyrital Messages postés 6233 Statut Membre 131
 
Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
0
Réponse 7 / 19
SAMEDI
 
VOICI LE RAPPORT DE SMITFRAUDFIX.EXE

SmitFraudFix v2.188

Rapport fait à 10:07:23,06, 29/05/2007
Executé à partir de C:\Documents and Settings\Administrateur.CDME\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.CDME

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.CDME\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1.CDM\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32-xpdt

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family
DNS Server Search Order: 192.168.1.2

HKLM\SYSTEM\CCS\Services\Tcpip\..\{76503EE2-C6A3-4CC9-B32F-4E593228A9BE}: DhcpNameServer=192.168.1.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{76503EE2-C6A3-4CC9-B32F-4E593228A9BE}: DhcpNameServer=192.168.1.2
HKLM\SYSTEM\CS3\Services\Tcpip\..\{76503EE2-C6A3-4CC9-B32F-4E593228A9BE}: DhcpNameServer=192.168.1.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.2
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.2
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.2

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

MERCI A RUDYRITAL POUR VOTRE AIDE...
0
Réponse 8 / 19
rudyrital Messages postés 6233 Statut Membre 131
 
Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".

•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
•- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, choisis l’option 1.

Clean va travailler.
•- Redémarre normalement
•- Poste qui se trouve ici C:\rapport_clean.txt.

(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
0
Réponse 9 / 19
SAMEDI
 
J'AI CHARGE CLEAN.ZIP ET J'AI PROCEDE A LA RECHERCHE COMME TU ME L'AS INDIQUE EN MODE SANS ECHEC
VOICI LE RAPPORT QUE LA MACHINE A FAIT :
30/05/2007 a 15:46:23,07

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\ALCXMNTR.EXE FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\bdod.bin FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

MERCI POUR TON AIDE. CE VIRUS EST UNE VRAIE PLAIE JE N'ARRIVE PAS A M'EN DEBARRASSER.
0
rudyrital Messages postés 6233 Statut Membre 131
 
relance clean etape 2 ce coup ci

post moi le rapport
0
Réponse 10 / 19
SAMEDI
 
CI JOINT LE RAPPORT CLEAN ETAPE 2 :
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 31/05/2007 a 12:29:31,62

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\ALCXMNTR.EXE

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\bdod.bin

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

J'AI FAIT UN SCAN APRES EVEC NOD 32 ET LE VIRUS EST TOUJOURS LA DANS LE SYSTEME DE RESTAURATION DE WINDOWS.

MERCI D'AVANCE POUR TON AIDE.
0
Réponse 11 / 19
rudyrital Messages postés 6233 Statut Membre 131
 
envois moi le rapport nod32 stp

apres fait ceci pour effacer les points de restoration infecté :

¤Désactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique.

redemarre

Puis,

¤Réactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et applique.

0
Réponse 12 / 19
SAMEDI
 
MALGRE PLUSIEURS SCAN AVEC NOD 32 ET LA SUPPRESSION DES FICHIERS INFECTES ET L'UTILISATION DE CLEAN EN MODE SANS ECHEC-LE PROGRAMME SUPPRIME DES CLEFS DE REGISTRE MAIS ELLE SE RECREE AUTOMATIQUEMENT. J'AI DESACTIVE LE SYSTEME DE RESTAURATION DE WINDOWS. MALGRE TOUTES CES OPERATIONS J'AI TOUJOURS LE VIRUS PRESENT DANS L'ORDINATEUR-VOICI CE QUE TROUVE NOD 32 :
C:\WINDOWS\SYSTEM32\TFTP2204 TAILLE:94208 NEWHEUR_PE VIRUS PROBABLEMENT INCONNU
C:\WINDOWS\SYSTEM32\TFTP1224 TAILLE:94208 NEWHEUR_PE VIRUS PROBABLEMENT INCONNU
C:\WINDOWS\SYSTEM32\xyk.exe TAILLE:94208 NEWHEUR_PE VIRUS PROBABLEMENT INCONNU
:\WINDOWS\SYSTEM32\knc.exe TAILLE:94208 NEWHEUR_PE VIRUS PROBABLEMENT INCONNU
C:\WINDOWS\SYSTEM32\TFTP3060 TAILLE:94208 NEWHEUR_PE VIRUS PROBABLEMENT INCONNU
C:\WINDOWS\SYSTEM32\TFTP2868 TAILLE:94208 NEWHEUR_PE VIRUS PROBABLEMENT INCONNU
C:\WINDOWS\SYSTEM32\TFTP3748 TAILLE:94208 NEWHEUR_PE VIRUS PROBABLEMENT INCONNU
C:\WINDOWS\SYSTEM32\niw.exe TAILLE:94208 NEWHEUR_PE VIRUS PROBABLEMENT INCONNU
C:\WINDOWS\SYSTEM32\eim.exe TAILLE:94208 NEWHEUR_PE VIRUS PROBABLEMENT INCONNU
C:\WINDOWS\SYSTEM32\TFTP1844 TAILLE:94208 NEWHEUR_PE VIRUS PROBABLEMENT INCONNU

MERCI POUR TON AIDE - CE VIRUS ME REND CHEVRE...
0
Réponse 13 / 19
rudyrital Messages postés 6233 Statut Membre 131
 
Rends toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html

Clique sur parcourir et cherche ce fichier : ( fait quatres fois ceci , une fois pour chaque fichiers)

C:\WINDOWS\SYSTEM32\xyk.exe
C:\WINDOWS\SYSTEM32\knc.exe
C:\WINDOWS\SYSTEM32\niw.exe
C:\WINDOWS\SYSTEM32\eim.exe

Clique sur send.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. (les quatres rapport stp )
0
SAMEDI
 
CI-JOINT LES 4 RAPPORTS EFFECTUES PAR VIRUSTOTAL COMME TU ME L'AS CONSEILLES-J'ESPERE QUE MAINTENANT QU'ON A TOUVE LE NOM DU VIRUS ON VA POUVOIR LE DETRUIRE.
VirusTotalVirusTotal is a free file analisys service that works using several antivirus engines.


Select file : DistributeSSL

Enter your email, choose the file to be scanned with multiple antivirus engines and click Send.Menu:
News Hot news in the virus/antivirus sector.
Estadisticas Statistics of VirusTotal procesing.
Virustotal More info about Virustotal.
VirusTotalVirusTotal is a free file analisys service that works using several antivirus engines.


Select file : DistributeSSL

Enter your email, choose the file to be scanned with multiple antivirus engines and click Send.Menu:
News Hot news in the virus/antivirus sector.
Estadisticas Statistics of VirusTotal procesing.
Virustotal More info about Virustotal.


STATUS: FINISHEDComplete scanning result of "xyk.exe", received in VirusTotal at 06.06.2007, 10:07:48 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.05.2007 Win32/IRCBot.worm.variant
AntiVir 7.4.0.32 06.06.2007 Worm/Rbot.94208.77
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 06.05.2007 Win32:Rbot-DDE
AVG 7.5.0.467 06.05.2007 Generic2.VBO
BitDefender 7.2 06.06.2007 Backdoor.Rbot.UA
CAT-QuickHeal 9.00 06.05.2007 Backdoor.Rbot.bvz
ClamAV devel-20070416 06.06.2007 no virus found
DrWeb 4.33 06.06.2007 Win32.HLLW.MyBot
eSafe 7.0.15.0 06.05.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3695 06.06.2007 Win32/Rbot.GCB
Ewido 4.0 06.05.2007 Backdoor.Rbot.bvz
FileAdvisor 1 06.06.2007 High threat detected
Fortinet 2.85.0.0 06.06.2007 W32/SDBot.Q!worm
F-Prot 4.3.2.48 06.05.2007 no virus found
F-Secure 6.70.13030.0 06.05.2007 Backdoor.Win32.Rbot.bvz
Ikarus T3.1.1.8 06.06.2007 Backdoor.Win32.Rbot.bvz
Kaspersky 4.0.2.24 06.06.2007 Backdoor.Win32.Rbot.bvz
McAfee 5046 06.05.2007 W32/Sdbot.worm.gen.q
Microsoft 1.2503 06.06.2007 no virus found
NOD32v2 2312 06.06.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 06.05.2007 no virus found
Panda 9.0.0.4 06.06.2007 Trj/Agent.DRD
Prevx1 V2 06.06.2007 Win32.Malware.gen
Sophos 4.18.0 06.01.2007 W32/Rbot-GCE
Sunbelt 2.2.907.0 06.04.2007 Backdoor.Win32.Rbot.bvz
Symantec 10 06.06.2007 no virus found
TheHacker 6.1.6.129 06.04.2007 no virus found
VBA32 3.12.0 06.06.2007 Backdoor.Win32.Rbot.bvz
VirusBuster 4.3.23:9 06.05.2007 Worm.Rbot.LSM
Webwasher-Gateway 6.0.1 06.06.2007 Worm.Rbot.94208.77


Aditional Information
File size: 94208 bytes
MD5: 861a3ef5e885583f90b2d901cef319a5
SHA1: 20b779b95cdd5c18a1cece5d976768ee1ff0dbe6
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=861a3ef5e885583f90b2d901cef319a5
packers: Polycrypt, Aspack
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=b5f868828796

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Ir a: Inicio Contactar En Español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004-07:: e-mail info@virustotal.com


STATUS: FINISHEDComplete scanning result of "xyk.exe", received in VirusTotal at 06.06.2007, 10:07:48 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.05.2007 Win32/IRCBot.worm.variant
AntiVir 7.4.0.32 06.06.2007 Worm/Rbot.94208.77
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 06.05.2007 Win32:Rbot-DDE
AVG 7.5.0.467 06.05.2007 Generic2.VBO
BitDefender 7.2 06.06.2007 Backdoor.Rbot.UA
CAT-QuickHeal 9.00 06.05.2007 Backdoor.Rbot.bvz
ClamAV devel-20070416 06.06.2007 no virus found
DrWeb 4.33 06.06.2007 Win32.HLLW.MyBot
eSafe 7.0.15.0 06.05.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3695 06.06.2007 Win32/Rbot.GCB
Ewido 4.0 06.05.2007 Backdoor.Rbot.bvz
FileAdvisor 1 06.06.2007 High threat detected
Fortinet 2.85.0.0 06.06.2007 W32/SDBot.Q!worm
F-Prot 4.3.2.48 06.05.2007 no virus found
F-Secure 6.70.13030.0 06.05.2007 Backdoor.Win32.Rbot.bvz
Ikarus T3.1.1.8 06.06.2007 Backdoor.Win32.Rbot.bvz
Kaspersky 4.0.2.24 06.06.2007 Backdoor.Win32.Rbot.bvz
McAfee 5046 06.05.2007 W32/Sdbot.worm.gen.q
Microsoft 1.2503 06.06.2007 no virus found
NOD32v2 2312 06.06.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 06.05.2007 no virus found
Panda 9.0.0.4 06.06.2007 Trj/Agent.DRD
Prevx1 V2 06.06.2007 Win32.Malware.gen
Sophos 4.18.0 06.01.2007 W32/Rbot-GCE
Sunbelt 2.2.907.0 06.04.2007 Backdoor.Win32.Rbot.bvz
Symantec 10 06.06.2007 no virus found
TheHacker 6.1.6.129 06.04.2007 no virus found
VBA32 3.12.0 06.06.2007 Backdoor.Win32.Rbot.bvz
VirusBuster 4.3.23:9 06.05.2007 Worm.Rbot.LSM
Webwasher-Gateway 6.0.1 06.06.2007 Worm.Rbot.94208.77


Aditional Information
File size: 94208 bytes
MD5: 861a3ef5e885583f90b2d901cef319a5
SHA1: 20b779b95cdd5c18a1cece5d976768ee1ff0dbe6
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=861a3ef5e885583f90b2d901cef319a5
packers: Polycrypt, Aspack
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=b5f868828796

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Ir a: Inicio Contactar En Español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004-07:: e-mail info@virustotal.com

VirusTotalVirusTotal is a free file analisys service that works using several antivirus engines.


Select file : DistributeSSL

Enter your email, choose the file to be scanned with multiple antivirus engines and click Send.Menu:
News Hot news in the virus/antivirus sector.
Estadisticas Statistics of VirusTotal procesing.
Virustotal More info about Virustotal.


STATUS: FINISHEDComplete scanning result of "xyk.exe", received in VirusTotal at 06.06.2007, 10:07:48 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.05.2007 Win32/IRCBot.worm.variant
AntiVir 7.4.0.32 06.06.2007 Worm/Rbot.94208.77
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 06.05.2007 Win32:Rbot-DDE
AVG 7.5.0.467 06.05.2007 Generic2.VBO
BitDefender 7.2 06.06.2007 Backdoor.Rbot.UA
CAT-QuickHeal 9.00 06.05.2007 Backdoor.Rbot.bvz
ClamAV devel-20070416 06.06.2007 no virus found
DrWeb 4.33 06.06.2007 Win32.HLLW.MyBot
eSafe 7.0.15.0 06.05.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3695 06.06.2007 Win32/Rbot.GCB
Ewido 4.0 06.05.2007 Backdoor.Rbot.bvz
FileAdvisor 1 06.06.2007 High threat detected
Fortinet 2.85.0.0 06.06.2007 W32/SDBot.Q!worm
F-Prot 4.3.2.48 06.05.2007 no virus found
F-Secure 6.70.13030.0 06.05.2007 Backdoor.Win32.Rbot.bvz
Ikarus T3.1.1.8 06.06.2007 Backdoor.Win32.Rbot.bvz
Kaspersky 4.0.2.24 06.06.2007 Backdoor.Win32.Rbot.bvz
McAfee 5046 06.05.2007 W32/Sdbot.worm.gen.q
Microsoft 1.2503 06.06.2007 no virus found
NOD32v2 2312 06.06.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 06.05.2007 no virus found
Panda 9.0.0.4 06.06.2007 Trj/Agent.DRD
Prevx1 V2 06.06.2007 Win32.Malware.gen
Sophos 4.18.0 06.01.2007 W32/Rbot-GCE
Sunbelt 2.2.907.0 06.04.2007 Backdoor.Win32.Rbot.bvz
Symantec 10 06.06.2007 no virus found
TheHacker 6.1.6.129 06.04.2007 no virus found
VBA32 3.12.0 06.06.2007 Backdoor.Win32.Rbot.bvz
VirusBuster 4.3.23:9 06.05.2007 Worm.Rbot.LSM
Webwasher-Gateway 6.0.1 06.06.2007 Worm.Rbot.94208.77


Aditional Information
File size: 94208 bytes
MD5: 861a3ef5e885583f90b2d901cef319a5
SHA1: 20b779b95cdd5c18a1cece5d976768ee1ff0dbe6
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=861a3ef5e885583f90b2d901cef319a5
packers: Polycrypt, Aspack
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=b5f868828796

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Ir a: Inicio Contactar En Español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004-07:: e-mail info@virustotal.com

VirusTotalVirusTotal is a free file analisys service that works using several antivirus engines.


Select file : DistributeSSL

Enter your email, choose the file to be scanned with multiple antivirus engines and click Send.Menu:
News Hot news in the virus/antivirus sector.
Estadisticas Statistics of VirusTotal procesing.
Virustotal More info about Virustotal.


STATUS: FINISHEDComplete scanning result of "xyk.exe", received in VirusTotal at 06.06.2007, 10:07:48 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.05.2007 Win32/IRCBot.worm.variant
AntiVir 7.4.0.32 06.06.2007 Worm/Rbot.94208.77
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 06.05.2007 Win32:Rbot-DDE
AVG 7.5.0.467 06.05.2007 Generic2.VBO
BitDefender 7.2 06.06.2007 Backdoor.Rbot.UA
CAT-QuickHeal 9.00 06.05.2007 Backdoor.Rbot.bvz
ClamAV devel-20070416 06.06.2007 no virus found
DrWeb 4.33 06.06.2007 Win32.HLLW.MyBot
eSafe 7.0.15.0 06.05.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3695 06.06.2007 Win32/Rbot.GCB
Ewido 4.0 06.05.2007 Backdoor.Rbot.bvz
FileAdvisor 1 06.06.2007 High threat detected
Fortinet 2.85.0.0 06.06.2007 W32/SDBot.Q!worm
F-Prot 4.3.2.48 06.05.2007 no virus found
F-Secure 6.70.13030.0 06.05.2007 Backdoor.Win32.Rbot.bvz
Ikarus T3.1.1.8 06.06.2007 Backdoor.Win32.Rbot.bvz
Kaspersky 4.0.2.24 06.06.2007 Backdoor.Win32.Rbot.bvz
McAfee 5046 06.05.2007 W32/Sdbot.worm.gen.q
Microsoft 1.2503 06.06.2007 no virus found
NOD32v2 2312 06.06.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 06.05.2007 no virus found
Panda 9.0.0.4 06.06.2007 Trj/Agent.DRD
Prevx1 V2 06.06.2007 Win32.Malware.gen
Sophos 4.18.0 06.01.2007 W32/Rbot-GCE
Sunbelt 2.2.907.0 06.04.2007 Backdoor.Win32.Rbot.bvz
Symantec 10 06.06.2007 no virus found
TheHacker 6.1.6.129 06.04.2007 no virus found
VBA32 3.12.0 06.06.2007 Backdoor.Win32.Rbot.bvz
VirusBuster 4.3.23:9 06.05.2007 Worm.Rbot.LSM
Webwasher-Gateway 6.0.1 06.06.2007 Worm.Rbot.94208.77


Aditional Information
File size: 94208 bytes
MD5: 861a3ef5e885583f90b2d901cef319a5
SHA1: 20b779b95cdd5c18a1cece5d976768ee1ff0dbe6
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=861a3ef5e885583f90b2d901cef319a5
packers: Polycrypt, Aspack
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=b5f868828796

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Ir a: Inicio Contactar En Español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004-07:: e-mail info@virustotal.com

MERCI D'AVANCE POUR TON AIDE A DETRUIRE CE TRUC QUE JE N'ARRIVE PAS ME DEBARRASSER
0
Réponse 14 / 19
SAMEDI
 
JE ME SUIS DOCUMENTEE SUR INTERNET AU SUJET DE W32/RBOT-GCE. JE SUIS ALLE SUR LE SITE DE SOPHOS ALORS IL SEMBLERAIT QUE CE SOIT UN VER QUI S'INTRODUIT DANS LE SYSTEME DE WINDOWS AFIN D'ESPIONNER L'UTILISATEUR. JE TE COPIE CE QUE J'AI TROUVE SUR INTERNET.
Dans cette sectionÀ la maison L'information de sécurité Analyses de menace
Analyses de menace
Comportement de temps d'exécution de HANCHES
Spyware et adware
Canulars
La meilleure pratique
Livres blancs
Conférences de Web
Virus du principal 10
Avis d'email
Podcasts
Matières chaudes
Exposés techniques
Ver de
W32/Rbot-GCE
Résumé
Résumé Description Rétablissement Avançé
Prédominance : bas haut
Nom W32/Rbot-GCE
Type Ver

Comment il écarte Parts de réseau

Logiciels d'exploitation affectés Windows

Effets secondaires Permet à d'autres d'accéder à l'ordinateur
S'installe dans l'enregistrement
Exploits système ou vulnérabilités de logiciel
Utilisé dans des attaques de DOS
Balaye le réseau pour des vulnérabilités
Balaye le réseau pour des mots de passe faibles
Balaye le réseau pour les ports ouverts

Noms d'emprunt Backdoor.Win32.Rbot.bvz
W32/Sdbot.worm.gen.q

Protection Dossier de l'identité de virus de téléchargement (ide)

Protection disponible depuis 23 janvier 2007 02:44 : 07 (GMT)
Détecté près Toutes les versions d'Anti-Virus de Sophos
Inclus dans nos produits de Mars 2007 (4.15)
Plus d'information sur des dossiers d'ide Quels sont des dossiers d'ide ?
Comment employer des dossiers d'ide
Obtenir les derniers dossiers d'ide

Description
Résumé Description Rétablissement Avançé
Cette section vous aide à comprendre comment elle se comporte
W32/Rbot-GCE est un ver avec la fonctionnalité secrète d'IRC pour la plateforme de Windows.

W32/Rbot-GCE fonctionne sans interruption dans le fond, fournissant un serveur secret qui permet à un intrus à distance d'accéder et commander au-dessus de l'ordinateur par l'intermédiaire des canaux d'IRC.

Diffusions de W32/Rbot-GCE
- aux ordinateurs vulnérables aux exploits communes, incluant : LSASS (MS04-011), RPC-DCOM (MS04-012) et WKS (MS03-049)
- aux parts de réseau protégées par des mots de passe faibles

Rétablissement
Résumé Description Rétablissement Avançé
Cette section t'indique comment enlever la menace.
Veuillez suivre les instructions pour enlever des vers.

Avançé
Résumé Description Rétablissement Avançé
Cette section est pour les experts techniques qui veulent savoir plus.
W32/Rbot-GCE est un ver avec la fonctionnalité secrète d'IRC pour la plateforme de Windows.

W32/Rbot-GCE fonctionne sans interruption dans le fond, fournissant un serveur secret qui permet à un intrus à distance d'accéder et commander au-dessus de l'ordinateur par l'intermédiaire des canaux d'IRC.

Quand la première course W32/Rbot-GCE se copie au <System> \ zaq.exe.

Les entrées suivantes d'enregistrement sont créées pour courir zaq.exe sur le démarrage :

HKCU \ logiciel \ Microsoft \ Windows \ CurrentVersion \ couru
Win32
zaq.exe

HKLM \ LOGICIEL \ Microsoft \ Windows \ CurrentVersion \ couru
Win32
zaq.exe

HKLM \ LOGICIEL \ Microsoft \ Windows \ CurrentVersion \ RunServices
Win32
zaq.exe

L'entrée suivante d'enregistrement est placée :

HKLM \ LOGICIEL \ Microsoft \ Ole
EnableDCOM
N

|Obtenir les rapports sur les dernières menaces de virus fournies à votre ordinateur Anglais Allemand Español Français Italiano PLC 1997-2007 de Sophos de ©. Tous droits réservés Légal Intimité RSS

CELA SEMBLE UN PEUT COMPLIQUER POUR S'EN DEBARRASSER - JE TE REMERCIE D'AVANCE POUR TON AIDE
0
Réponse 15 / 19
rudyrital Messages postés 6233 Statut Membre 131
 
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
0
Réponse 16 / 19
rudyrital Messages postés 6233 Statut Membre 131
 
ensuite

¤ Désactive le pare-feu de Windows (SP2) puis installe celui-ci pour plus de sécurité

Kerio (pare-feu) : reste gratuit après la période d'essai en français
----> http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html

Regarde ce tutoriel si tu as besoin d'aide pour l'installation, la configuration et compréhension de Kerio
--> https://kerio.probb.fr/

Plus d'info :
->https://kerio.probb.fr/
0
SAMEDI
 
CI-JOINT LE RAPPORT SDFIX EFFECTUE DONC EN MODE SANS ECHEC

SDFix: Version 1.86

Run by Geraldine - 07/06/2007 - 9:38:51,50

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\system32\eim.exe - Deleted
C:\WINDOWS\system32\TFTP1400 - Deleted
C:\WINDOWS\system32\TFTP2020 - Deleted
C:\WINDOWS\system32\TFTP2036 - Deleted
C:\WINDOWS\system32\TFTP2164 - Deleted
C:\WINDOWS\system32\TFTP2464 - Deleted
C:\WINDOWS\system32\TFTP3288 - Deleted
C:\WINDOWS\system32\TFTP3296 - Deleted
C:\WINDOWS\system32\TFTP3324 - Deleted
C:\WINDOWS\system32\TFTP3400 - Deleted
C:\WINDOWS\system32\TFTP3724 - Deleted
C:\WINDOWS\system32\TFTP4052 - Deleted
C:\WINDOWS\system32\TFTP732 - Deleted



Removing Temp Files...

ADS Check:

Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.

Checking if ADS is attached to ntoskrnl.exe
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Listing Files with Hidden Attributes:

C:\WINDOWS\system32\config\default.tmp.LOG
C:\WINDOWS\system32\config\software.tmp.LOG
C:\WINDOWS\system32\config\system.tmp.LOG

Listing User Accounts:

comptes d'utilisateurs de \\JOELLE

Administrateur HelpAssistant Invit‚
SUPPORT_388945a0 SUPPORT_fddfa904
La commande s'est termin‚e correctement.


Finished
VOICI LE NOUVEAU LOG EFFECTUE PAR HIJACKTHIS
Logfile of HijackThis v1.99.1
Scan saved at 09:51:59, on 07/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\svchost.exe
C:\hitjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O16 - DPF: {08F04139-8DFC-11D2-80E9-006008B066EE} (ConfigChkr Class) - https://certification.hsbc.fr/vscnfchk.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {A06BE318-C096-11D4-964F-0010A4D06F69} (TeleTVA Control) - file://C:\Documents and Settings\Administrateur.CDME\Mes documents\GEGE\TeleTVA.tva
O16 - DPF: {E048642F-CB72-11D4-AC48-00E0293DB8F0} (CertiSign Control) - https://secure.fortisnet.fortisbanque.fr/webtel/certinomis/CertiSign.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cdme.local
O17 - HKLM\Software\..\Telephony: DomainName = cdme.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cdme.local
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
0
Réponse 17 / 19
rudyrital Messages postés 6233 Statut Membre 131
 
relance hijackthis puis clic sur "do a system scan only"

apres le scan coche ces lignes et seulement celles ci !!

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O16 - DPF: {08F04139-8DFC-11D2-80E9-006008B066EE} (ConfigChkr Class) - https://certification.hsbc.fr/vscnfchk.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/

O16 - DPF: {E048642F-CB72-11D4-AC48-00E0293DB8F0} (CertiSign Control) - https://secure.fortisnet.fortisbanque.fr/webtel/certinomis/CertiSign.ocx

referme ton navigateur (internet explorer ) puis clic sur " fix check"

fait un scan ici
https://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

tuto en image

http://pageperso.aol.fr/rginformatique/mapage/defender.htm

0
Réponse 18 / 19
manu
 
Search Navipromo version 2.0.9 commencé le 28/08/2007 à 23:19:45,98

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Admin\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 08/28/07 at 23:19:48.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ............................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 08/28/07 at 23:21:05 (return code = 0).

*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !

*** Recherche fichiers ***

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

3)Recherche Certificats :

Certificat Egroup absent !

*** Analyse Terminé le 28/08/2007 à 23:21:20,20 ***
0
Réponse 19 / 19
rudyrital Messages postés 6233 Statut Membre 131
 
Bonjour

Pourriez-vous, s'il vous plait, reformuler votre problème avec des phrases complètes; bonjour et merci sont aussi des mots bien appréciés ici, puisque notre seul salaire.
http://www.technicland.com/malpolitus.swf

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :

http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm
@+
0

Discussions similaires

Supprimer son compte Temu
liwei -
Mel -

8 réponses
supprimer temu de iphone 6S
DEMPASS -
HelpiOS -

1 réponse