!! Infcté par winjks32, ufsumpvl, vadjainr
Fermé
lechampion
Messages postés
30
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
10 juin 2008
-
17 juin 2007 à 16:17
Utilisateur anonyme - 19 juin 2007 à 10:03
Utilisateur anonyme - 19 juin 2007 à 10:03
18 réponses
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
17 juin 2007 à 16:21
17 juin 2007 à 16:21
winjks32.dll ca ressemble a un troyen
wvutrsr.dll , awvtr.dll infection vundo?
télécharger sur le bureau
Navilog.zip
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
= Double-Clic navilog1.zip
= Extraire tout sur le bureau
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1
un rapport : fixnavi.txt dans C : va se creer
le copier/coller dans ton prochain message.
wvutrsr.dll , awvtr.dll infection vundo?
télécharger sur le bureau
Navilog.zip
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
= Double-Clic navilog1.zip
= Extraire tout sur le bureau
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1
un rapport : fixnavi.txt dans C : va se creer
le copier/coller dans ton prochain message.
moK´s@
Messages postés
4399
Date d'inscription
mardi 18 octobre 2005
Statut
Membre
Dernière intervention
2 novembre 2007
89
17 juin 2007 à 16:22
17 juin 2007 à 16:22
salut le champion,
fais ceci :
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
et repost un log hijackthis ,
@+
fais ceci :
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
et repost un log hijackthis ,
@+
Utilisateur anonyme
17 juin 2007 à 16:58
17 juin 2007 à 16:58
"bravo d'abord à TOUS les contribiteurs surtout philo2100 "
Merci pour tous les bénévoles du sites CCM.----------------------------------->
Pour avancer
cocher + fixer ces lignes:
comment faire?
https://leblogdeclaude.blogspot.com/2007/05/comment-utiliser-hijackthis-fixer.html
-----------------------------------------------------------------------------------
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32\ufsumpvl.dll
O2 - BHO: (no name) - {64231E89-CA69-42C3-9B03-9757E5070A8E} - C:\WINDOWS\system32\awvtr.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\wvutrsr.dll (file missing)
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\vadjainr.dll",realset
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TrayMin.lnk = ?
Inconnu
O20 - Winlogon Notify: winjks32 - C:\WINDOWS\SYSTEM32\winjks32.dll
--------------------------------------------------------
ensuites fais ceci, comme l'a demandé jlpjlp ,
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html
postes le log
Merci pour tous les bénévoles du sites CCM.----------------------------------->
Pour avancer
cocher + fixer ces lignes:
comment faire?
https://leblogdeclaude.blogspot.com/2007/05/comment-utiliser-hijackthis-fixer.html
-----------------------------------------------------------------------------------
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32\ufsumpvl.dll
O2 - BHO: (no name) - {64231E89-CA69-42C3-9B03-9757E5070A8E} - C:\WINDOWS\system32\awvtr.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\wvutrsr.dll (file missing)
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\vadjainr.dll",realset
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TrayMin.lnk = ?
Inconnu
O20 - Winlogon Notify: winjks32 - C:\WINDOWS\SYSTEM32\winjks32.dll
--------------------------------------------------------
ensuites fais ceci, comme l'a demandé jlpjlp ,
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html
postes le log
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
17 juin 2007 à 17:29
17 juin 2007 à 17:29
je te laisse regler le pb
Utilisateur anonyme
19 juin 2007 à 10:03
19 juin 2007 à 10:03
Ok, j'en conclus que tu as tn PC qui te donne satisfaction.
Prends connaissance de ces derniers conseils dans ce cas---->
https://leblogdeclaude.blogspot.com/2007/05/derniers-conseils.html
Prends connaissance de ces derniers conseils dans ce cas---->
https://leblogdeclaude.blogspot.com/2007/05/derniers-conseils.html
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
lechampion
Messages postés
30
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
10 juin 2008
2
17 juin 2007 à 17:52
17 juin 2007 à 17:52
Hello jlpjlp, mok et philo2100 et merci pour vos réponse rapides !! J'apprécie A LOTTTTT !!
j'ai analysé avec navi et j'ai netoyé avec hijacthis mais les 3 file DLL restent dans system32 !!!!!!!!!
est ce normal ?
nvidia c'est ma carte graphique, j'ai viré la ligne quand mêm
-----------------------------------------------
1/ analyse avec navi : PAS grand chose, mais il a trouvé rniajdav.ini2 ! ?
-------------------------------------------
F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.
[+] Started on 06/17/07 at 17:23:11.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ......................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 06/17/07 at 17:26:10 (return code = 0).
*** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
C:\WINDOWS\system32\rniajdav.ini2 trouvé ! infection Vundo possible non traité par cet outil !
2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********
*** Analyse Terminé le 17/06/2007 à 17:26:20,90 ***
---------------------------------------------------
2/ rapport hijakthis
-------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 17:20:20, on 17/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\vphc700.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\NETGEAR\WG311v3\wlancfg5.exe
C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
C:\Program Files\PerSono\perstray.exe
C:\Program Files\Philips\SPC 700NC PC Camera\TrayMin.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [phc700] C:\WINDOWS\vphc700.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ?
O4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
O4 - Global Startup: Perstray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Merci encore !
j'ai analysé avec navi et j'ai netoyé avec hijacthis mais les 3 file DLL restent dans system32 !!!!!!!!!
est ce normal ?
nvidia c'est ma carte graphique, j'ai viré la ligne quand mêm
-----------------------------------------------
1/ analyse avec navi : PAS grand chose, mais il a trouvé rniajdav.ini2 ! ?
-------------------------------------------
F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.
[+] Started on 06/17/07 at 17:23:11.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ......................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 06/17/07 at 17:26:10 (return code = 0).
*** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
C:\WINDOWS\system32\rniajdav.ini2 trouvé ! infection Vundo possible non traité par cet outil !
2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********
*** Analyse Terminé le 17/06/2007 à 17:26:20,90 ***
---------------------------------------------------
2/ rapport hijakthis
-------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 17:20:20, on 17/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\vphc700.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\NETGEAR\WG311v3\wlancfg5.exe
C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
C:\Program Files\PerSono\perstray.exe
C:\Program Files\Philips\SPC 700NC PC Camera\TrayMin.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [phc700] C:\WINDOWS\vphc700.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ?
O4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
O4 - Global Startup: Perstray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Merci encore !
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
17 juin 2007 à 18:03
17 juin 2007 à 18:03
scan avec vundo
Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4
Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.
Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.
puis : en mode sans echec
virtumondebegone
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
puis Symantec Vundo Remove Tool
https://www.broadcom.com/support/security-center
desactiver la restauration systeme le temps du redemarrage dans DEMARRER puis TOUS LES PROG puis ACCESOIRE puis OUTILS SYSTEME puis DANS RESTAURATION SYSTEME aller dans parametre et desactiver la restauration)
tu peux aussi utiliser pour effacer tes traces de surf et voir si il n'y a pas d'autre espions
CCLEANER : ne pas mettre la barre yahoo
https://www.01net.com/
spybot :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html
AD AWARE
https://www.01net.com/
et scan en ligne sur bitdefender :
https://www.bitdefender.com/toolbox/
ou Panda en ligne :
http://pandasoftware.fr
Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4
Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.
Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.
puis : en mode sans echec
virtumondebegone
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
puis Symantec Vundo Remove Tool
https://www.broadcom.com/support/security-center
desactiver la restauration systeme le temps du redemarrage dans DEMARRER puis TOUS LES PROG puis ACCESOIRE puis OUTILS SYSTEME puis DANS RESTAURATION SYSTEME aller dans parametre et desactiver la restauration)
tu peux aussi utiliser pour effacer tes traces de surf et voir si il n'y a pas d'autre espions
CCLEANER : ne pas mettre la barre yahoo
https://www.01net.com/
spybot :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html
AD AWARE
https://www.01net.com/
et scan en ligne sur bitdefender :
https://www.bitdefender.com/toolbox/
ou Panda en ligne :
http://pandasoftware.fr
lechampion
Messages postés
30
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
10 juin 2008
2
17 juin 2007 à 18:12
17 juin 2007 à 18:12
Merci jlpjlp pour cette "Lecon" et ce memo de high qualité !
j'ai deja fait vundo et virtual monde et avast antivirus et spy bot !
ma question est :
1/ est normal que les 3 dll "infecté reste dans system32 ? winjks32, ufsumpvl, vadjainr
2/ rniajdav.ini2 est il uen vrai menance ??
merci for your reply !
j'ai deja fait vundo et virtual monde et avast antivirus et spy bot !
ma question est :
1/ est normal que les 3 dll "infecté reste dans system32 ? winjks32, ufsumpvl, vadjainr
2/ rniajdav.ini2 est il uen vrai menance ??
merci for your reply !
Utilisateur anonyme
17 juin 2007 à 18:15
17 juin 2007 à 18:15
refaits Navilo1.cmd en mode sans échec.
Choisis l'options 2
Postes le log
---------------------------
https://leblogdeclaude.blogspot.com/2007/04/informatique-rebooter-xp-en-mode-sans.html
Choisis l'options 2
Postes le log
---------------------------
https://leblogdeclaude.blogspot.com/2007/04/informatique-rebooter-xp-en-mode-sans.html
lechampion
Messages postés
30
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
10 juin 2008
2
17 juin 2007 à 19:10
17 juin 2007 à 19:10
Merci jlp et philo2100 pour votre rapidité et soin apporté à nos pb : c'est tres appréciable !
ma question est :
1/ est normal que les 3 dll "infecté reste dans system32 ? winjks32, ufsumpvl, vadjainr
Et voici resultat Navilo1.cmd en mode sans échec. il parle de rniajdav.ini2
F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================
Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.
[+] Started on 06/17/07 at 18:32:58.
[-] ERROR: F-Secure BlackLight cannot be used in safe mode.
[+] Exited on 06/17/07 at 18:32:58 (return code = 3).
*** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
C:\WINDOWS\system32\rniajdav.ini2 trouvé ! infection Vundo possible non traité par cet outil !
2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********
*** Analyse Terminé le 17/06/2007 à 18:33:41,48 ***
Merci encore !
ma question est :
1/ est normal que les 3 dll "infecté reste dans system32 ? winjks32, ufsumpvl, vadjainr
Et voici resultat Navilo1.cmd en mode sans échec. il parle de rniajdav.ini2
F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================
Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.
[+] Started on 06/17/07 at 18:32:58.
[-] ERROR: F-Secure BlackLight cannot be used in safe mode.
[+] Exited on 06/17/07 at 18:32:58 (return code = 3).
*** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
C:\WINDOWS\system32\rniajdav.ini2 trouvé ! infection Vundo possible non traité par cet outil !
2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********
*** Analyse Terminé le 17/06/2007 à 18:33:41,48 ***
Merci encore !
Utilisateur anonyme
17 juin 2007 à 19:22
17 juin 2007 à 19:22
fais ceci, télécharges et exécutes-le. (déconnecté)
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
lechampion
Messages postés
30
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
10 juin 2008
2
17 juin 2007 à 19:50
17 juin 2007 à 19:50
Hello again !
Merci philo2100 pour votre rapidité
ma question est :
1/ Est normal que les 3 dll infecté reste dans system32 ? winjks32, ufsumpvl, vadjainr : sont ils ok ????
2/Ci joint rapport virtumundo , suite à ta demande !
[06/17/2007, 19:26:38] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Albert\Mes documents\smit fix\VirtumundoBeGone.exe" )
[06/17/2007, 19:26:48] - Detected System Information:
[06/17/2007, 19:26:48] - Windows Version: 5.1.2600, Service Pack 2
[06/17/2007, 19:26:48] - Current Username: Albert (Admin)
[06/17/2007, 19:26:48] - Windows is in NORMAL mode.
[06/17/2007, 19:26:48] - Searching for Browser Helper Objects:
[06/17/2007, 19:26:48] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[06/17/2007, 19:26:48] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[06/17/2007, 19:26:48] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/17/2007, 19:26:48] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[06/17/2007, 19:26:48] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[06/17/2007, 19:26:48] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/17/2007, 19:26:48] - BHO 4: {AE7CD045-E861-484f-8273-0445EE161910} (AcroIEToolbarHelper Class)
[06/17/2007, 19:26:48] - Finished Searching Browser Helper Objects
[06/17/2007, 19:26:48] - Finishing up...
[06/17/2007, 19:26:48] - Nothing found! Exiting...
il y a 4 BHO !!!!
merci
Merci philo2100 pour votre rapidité
ma question est :
1/ Est normal que les 3 dll infecté reste dans system32 ? winjks32, ufsumpvl, vadjainr : sont ils ok ????
2/Ci joint rapport virtumundo , suite à ta demande !
[06/17/2007, 19:26:38] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Albert\Mes documents\smit fix\VirtumundoBeGone.exe" )
[06/17/2007, 19:26:48] - Detected System Information:
[06/17/2007, 19:26:48] - Windows Version: 5.1.2600, Service Pack 2
[06/17/2007, 19:26:48] - Current Username: Albert (Admin)
[06/17/2007, 19:26:48] - Windows is in NORMAL mode.
[06/17/2007, 19:26:48] - Searching for Browser Helper Objects:
[06/17/2007, 19:26:48] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[06/17/2007, 19:26:48] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[06/17/2007, 19:26:48] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/17/2007, 19:26:48] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[06/17/2007, 19:26:48] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[06/17/2007, 19:26:48] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/17/2007, 19:26:48] - BHO 4: {AE7CD045-E861-484f-8273-0445EE161910} (AcroIEToolbarHelper Class)
[06/17/2007, 19:26:48] - Finished Searching Browser Helper Objects
[06/17/2007, 19:26:48] - Finishing up...
[06/17/2007, 19:26:48] - Nothing found! Exiting...
il y a 4 BHO !!!!
merci
Utilisateur anonyme
17 juin 2007 à 20:13
17 juin 2007 à 20:13
recherche ceci sur ton PC :
rniajdav
-----------------------------------
si tu trouves supprimes.
fais ceci:
https://leblogdeclaude.blogspot.com/2007/04/informatique-procdure-smitfraud.html
rniajdav
-----------------------------------
si tu trouves supprimes.
fais ceci:
https://leblogdeclaude.blogspot.com/2007/04/informatique-procdure-smitfraud.html
lechampion
Messages postés
30
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
10 juin 2008
2
17 juin 2007 à 20:48
17 juin 2007 à 20:48
hi again philo2100 et bravo !!
j ai spprimé rniajdav.ini2 !! mais était il danjereux ? et les 3 autres DLL ???
ci joint rapport smitfraud ! rien ?
SmitFraudFix v2.195
Rapport fait à 20:40:08,93, 17/06/2007
Executé à partir de C:\Documents and Settings\Albert\Mes documents\smit fix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\vphc700.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\NETGEAR\WG311v3\wlancfg5.exe
C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
C:\Program Files\PerSono\perstray.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Albert
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Albert\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Albert\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: NETGEAR WG311v3 802.11g Wireless PCI Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.53.252
DNS Server Search Order: 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{744FCC97-1115-4CBB-9DD3-AA53A6C88A85}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{744FCC97-1115-4CBB-9DD3-AA53A6C88A85}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{744FCC97-1115-4CBB-9DD3-AA53A6C88A85}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
j ai spprimé rniajdav.ini2 !! mais était il danjereux ? et les 3 autres DLL ???
ci joint rapport smitfraud ! rien ?
SmitFraudFix v2.195
Rapport fait à 20:40:08,93, 17/06/2007
Executé à partir de C:\Documents and Settings\Albert\Mes documents\smit fix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\vphc700.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\NETGEAR\WG311v3\wlancfg5.exe
C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
C:\Program Files\PerSono\perstray.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Albert
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Albert\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Albert\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: NETGEAR WG311v3 802.11g Wireless PCI Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.53.252
DNS Server Search Order: 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{744FCC97-1115-4CBB-9DD3-AA53A6C88A85}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{744FCC97-1115-4CBB-9DD3-AA53A6C88A85}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{744FCC97-1115-4CBB-9DD3-AA53A6C88A85}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
lechampion
Messages postés
30
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
10 juin 2008
2
17 juin 2007 à 23:28
17 juin 2007 à 23:28
EN tout cas :
GRAND MERCI
et GRAND HOMMAGE à tous les virtuoses et experts qui el font comme je le constate sur leur temps libre et en toute assuidité !
bravo et bonne continuation !
GRAND MERCI
et GRAND HOMMAGE à tous les virtuoses et experts qui el font comme je le constate sur leur temps libre et en toute assuidité !
bravo et bonne continuation !
lechampion
Messages postés
30
Date d'inscription
dimanche 17 juin 2007
Statut
Membre
Dernière intervention
10 juin 2008
2
17 juin 2007 à 23:56
17 juin 2007 à 23:56
oups
juste derniere question : dois je supprimer à la main ces files DLL dans systel 32 ???
winjks32, ufsumpvl, vadjainr
juste derniere question : dois je supprimer à la main ces files DLL dans systel 32 ???
winjks32, ufsumpvl, vadjainr
Utilisateur anonyme
18 juin 2007 à 09:34
18 juin 2007 à 09:34
Oui, si tu as des soucis essayes en mode sans échec.
Télécharges ceci:
https://www.generation-nt.com/?url=aHR0cDovL3BlcnNvLndhbmFkb28uZnIvamVzc2VzL0RvY3MvTG9naWNpZWxzL0tpbGxCb3guaHRt
tuto Killbox ici:
http://perso.orange.fr/jesses/Docs/Logiciels/KillBox.htm
Télécharges ceci:
https://www.generation-nt.com/?url=aHR0cDovL3BlcnNvLndhbmFkb28uZnIvamVzc2VzL0RvY3MvTG9naWNpZWxzL0tpbGxCb3guaHRt
tuto Killbox ici:
http://perso.orange.fr/jesses/Docs/Logiciels/KillBox.htm
