Bonjour à tous, je suis nouveau et très novice en informatique... Hier j'ai recu un lien par une fenetre MSN de quelqu'un que je connaissais, j'ai cliqué dessus et un dossier Zippé est apparu, j'ai voulu le dézipper et rien n'et apparu. Depuis, chaque fois que j'ouvre l'ordi, une fenetre Symantec apparait et me dit qu'il y a un virus Hacktool.Rootkit sur un fichier System32\Deflib.sys L'antivirus n'arrive pas à le mettre en quarantaine et me dit : supprimer : réussite : accès refusé. Donc l'antivirus n'arrive pas à le virer, et des fenetres s'ouvrent me disant que des messages n'ont pas pu etre envoyés par mail et ont été bloqués par Symantec, ces messages étant envoyés à des adresse qui me sont inconnues...De plus, Internet bugue. Je ne sais pas comment m'y prendre, j'ai regardé ailleurs, mais chaque cas est unique donc impossible à faire lorque l'on ne s'y connait pas. Pouvez vous m'aidez SVP Merci beaucoup d'avance

slt Télécharge MSNFix de Laurent http://sosvirus.changelog.fr/MSNFix.zip Décompresse-le et double clic sur le fichier MSNFix.bat. - Exécute l'option R. --Si l'infection est détectée, exécute l'option N - Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum. Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement. ____________________ sophos antirootkit http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html _____________________ télécharger sur le bureau Navilog.zip http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe = Double-Clic navilog1.zip = Extraire tout sur le bureau = Double-Clic navilog1 qui est sur le bureau = Appuyer sur une touche jusqu' arriver aux options = Choisir option 1 un rapport : fixnavi.txt dans C : va se creer le copier/coller dans ton prochain message.

Virus Hacktool.Rootkit aidez moi SVP

Réponse 41 / 69

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
27 juil. 2007 à 10:53

oui , colle le scan en ligne, et surtout dis quels sont tes pbs ?

et recolle hijackthis apres desinstallation d'avg antispyware

______________

pour a squared:

c:\windows\system32\ifhelper.dll Détecter: Trace.File.SearchCentrix

ca tu vire

C:\Documents and Settings\CA\Cookies\ca@adtech[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\CA\Cookies\ca@atdmt[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\CA\Cookies\ca@fl01.ct2.comclick[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\CA\Cookies\ca@weborama[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\CA\Cookies\ca@weborama[3].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\CA\Cookies\ca@www.cibleclick[1].txt Détecter: Trace.TrackingCookie
C:\Program Files\wanadoo_toolbar\wanadoo_toolbar.dll Détecter: Adware.Win32.BHO.w

____________________________

pour le reste , cela correspond a combofix, au scan en ligne panda , sdfix , msn fix, clean que jet'ai fais installer donc pas de pbs

C:\ComboFix\nircmd.cfexe Détecter: Heuristic.Dialer.RAS
C:\ComboFix\nircmd.exe Détecter: Heuristic.Dialer.RAS
C:\Documents and Settings\CA\Bureau\clean\clean\pskill.exe Détecter: Riskware.RiskTool.Win32.PsKill.k
C:\Documents and Settings\CA\Bureau\clean.zip/pskill.exe Détecter: Riskware.RiskTool.Win32.PsKill.k
C:\Documents and Settings\CA\Bureau\ComboFix.exe/nircmd.exe Détecter: Heuristic.Dialer.RAS
C:\Documents and Settings\CA\Bureau\MSNFix\incl\Process.exe Détecter: Riskware.RiskTool.Win32.Processor.20
C:\Documents and Settings\CA\Bureau\SDFix\apps\Process.exe Détecter: Riskware.RiskTool.Win32.Processor.20
C:\Documents and Settings\CA\Bureau\SDFix.exe/Process.exe Détecter: Riskware.RiskTool.Win32.Processor.20

C:\WINDOWS\nircmd.exe Détecter: Heuristic.Dialer.RAS

Réponse 42 / 69

Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
27 juil. 2007 à 14:33

BitDefender Online Scanner

Rapport d'analyse généré à: Fri, Jul 27, 2007 - 11:15:45

Voie d'analyse: A:\;C:\;D:\;E:\;

Statistiques

Temps
01:00:42

Fichiers
303645

Directoires
9736

Secteurs de boot
4

Archives
5099

Paquets programmes
11602

Résultats

Virus identifiés
4

Fichiers infectés
5

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
9

Info sur les moteurs

Définition virus
641165

Version des moteurs
AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)

Analyse des plugins
14

Archive des plugins
38

Unpack des plugins
6

E-mail plugins
6

Système plugins
1

Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions

Analyse d'emails
Oui

Analyse des Archives
Oui
Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui

Fichier analysé
Statut

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0E3C0000.VBN=>(Quarantine-PE)
Infecté par: Rootkit.Agent.DP

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0E3C0000.VBN=>(Quarantine-PE)
Echec de la désinfection

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0E3C0000.VBN=>(Quarantine-PE)
Supprimé

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0E3C0001.VBN=>(Quarantine-PE)
Infecté par: Trojan.Rootkit.GED

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0E3C0001.VBN=>(Quarantine-PE)
Echec de la désinfection

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0E3C0001.VBN=>(Quarantine-PE)
Supprimé

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0E3C0002.VBN=>(Quarantine-PE)
Infecté par: Rootkit.Agent.DP

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0E3C0002.VBN=>(Quarantine-PE)
Echec de la désinfection

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0E3C0002.VBN=>(Quarantine-PE)
Supprimé

C:\Documents and Settings\CA\.housecall6.6\Quarantine\A0114812.exe.bac_a06652=>(Quarantine-4)
Infecté par: Trojan.Horse.AZT

C:\Documents and Settings\CA\.housecall6.6\Quarantine\A0114812.exe.bac_a06652=>(Quarantine-4)
Echec de la désinfection

C:\Documents and Settings\CA\.housecall6.6\Quarantine\A0114812.exe.bac_a06652=>(Quarantine-4)
Supprimé

C:\Documents and Settings\CA\.housecall6.6\Quarantine\setupinstre.exe.bac_a06652=>(Quarantine-4)=>(CAB Sfx r)=>Setup.exe
Infecté par: Trojan.WhenU.H

C:\Documents and Settings\CA\.housecall6.6\Quarantine\setupinstre.exe.bac_a06652=>(Quarantine-4)=>(CAB Sfx r)=>Setup.exe
Echec de la désinfection

C:\Documents and Settings\CA\.housecall6.6\Quarantine\setupinstre.exe.bac_a06652=>(Quarantine-4)=>(CAB Sfx r)=>Setup.exe
Supprimé

C:\Documents and Settings\CA\.housecall6.6\Quarantine\setupinstre.exe.bac_a06652=>(Quarantine-4)=>(CAB Sfx r)
Echec de la mise à jour

Réponse 43 / 69

Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
27 juil. 2007 à 14:36

Comment je dois faire pour virer les cookies, ds a squared y'a rien en quarantaine, et j'ai pas trouvé ou... ?

De plus, a chaque fois que j'éteinds l'ordi en mode normal, un message apparait me disant d'appuyer sur "Terminer maintenant" car le programme "avgas.exe" ne se ferme pas; je ne l'avais pas avant, c'est koi ? c'est grave ?

Réponse 44 / 69

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
28 juil. 2007 à 19:13

tu as CA antivirus et symantec/ norton?

si c'est le cas il faut en virer un des deux

___________________
supprime ce qui est en quarantaine dans CA et norton

_____________________
pour les cookies
utilise aussi pour supprimer tes traces

CCLEANER: (lance un nettoyage et répare erreurs) sans la barre yahoo

https://www.01net.com/

_________________

où en sont tes pbs?
depuis, chaque fois que j'ouvre l'ordi, une fenetre Symantec apparait et me dit qu'il y a un virus Hacktool.Rootkit sur un fichier System32\Deflib.sys c'est toujours le cas?

_________________

pour a squared laisse tomber ce sont que des cookies qui ont ete trouvés

_________________

recolle hijackthis et surtout dis tes pbs

Réponse 45 / 69

Vevin
30 juil. 2007 à 14:22

J'ai fait Ccleaner et j'ai supprimé...

Voici HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 14:17, on 2007-07-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\AdAware\aawservice.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\basfipm.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Dell\OpenManage\Client\Iap.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/fr/fr/importer/ImageUploader4.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\AdAware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Iap - Dell Inc - C:\Program Files\Dell\OpenManage\Client\Iap.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

La fenetre que j'avais au début n'apparait plus, mais ce qui apparait maintenant est une fenetre qd je ferme l'ordi en mode normal, me disant d'appuyer sur "Terminer maintenant" car le programme "avgas.exe" ne se ferme pas; c'est koi ? c'est grave ?
Parce que des fois on oublie d'appuyer et après ca plante et il faut appuyer sur ctrl+suppr.
Dis moi s'ilteplait que je sois rassuré!
Merci

Réponse 46 / 69

Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
30 juil. 2007 à 14:29

Et au fait, comment je peux restaurer l'ancien mode de connection qui faisait qu'on était obligé de se connecter avec le gestionnaire de connection pour avoir acces a internet (et non pas y avoir accès en cliquant directement sur Internet explorer sans etre connecté) ?
J'ai cherché ds les paramètres, j'ai pas trouvé...

Réponse 47 / 69

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
31 juil. 2007 à 12:44

1/
La fenetre que j'avais au début n'apparait plus, mais ce qui apparait maintenant est une fenetre qd je ferme l'ordi en mode normal, me disant d'appuyer sur "Terminer maintenant" car le programme "avgas.exe" ne se ferme pas; c'est koi ? c'est grave ?
Parce que des fois on oublie d'appuyer et après ca plante et il faut appuyer sur ctrl+suppr.
Dis moi s'ilteplait que je sois rassuré!

je pense que ca vient d'avg antispyware, desinstalle le

puis lance CCLEANER et repare les erreurs plusieurs fois jusqu'a ce qu'il n' y a en ai plus.

2/

Et au fait, comment je peux restaurer l'ancien mode de connection qui faisait qu'on était obligé de se connecter avec le gestionnaire de connection pour avoir acces a internet (et non pas y avoir accès en cliquant directement sur Internet explorer sans etre connecté) ?
J'ai cherché ds les paramètres, j'ai pas trouvé...

+ regarde dans DEMARRER puis PANNEAU DE CONFIGURATION puis OPTION INTERNET puis dans l'onglet CONNECTION
et modifie la connection pour qu'elle ne soit pas automatique

+ sinon essaye de reinstaller ta connnection internet

________________

sinon

pour protéger ton ordi en se basant sur norton que tu as:

securite

mettre un antivirus : NORTON donc

-------------
des anti-espions: en plus de norton

AD AWARE + SPYBOT

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

--------
un pare feu :celui de norton
-----------

CCLEANER pour effacer les traces de surf

Réponse 48 / 69

Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
1 août 2007 à 10:18

Et j'ai toujours des virus en voyant les derniers scans ??

Réponse 49 / 69

Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
1 août 2007 à 10:33

Au fait, j'ai touché a un ".exe" dans le dossier de symantec anti virus, et depuis, une fenetre s'ouvre au démarrage et à chaque clic droit. Cette fenetre est de "windows installer" et veut installer Symantec il me semble. Pour la virer, il faut appuyer plein de fois sur annuler ou sinon, une autre fenetre s'ouvre et me dit que le système ne trouve pas le dossier et qu'il faut faire parcourrir... C'est super lourd, et ca ne s'est pas enlevé avec Ccleaner... Aurais-tu une idée pour l'enlever s'il te plait ??

Réponse 50 / 69

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
1 août 2007 à 10:40

desinstalle et reinstalle symantec norton si c'est depuis que tu as viré un fichier de symantec

______________

hijackthis ok : tu as des pbs?

Réponse 51 / 69

Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
1 août 2007 à 11:13

Non pas de pbs, je me demandais c'est tout... Je te remercie infiniement de ta patience et de ton aide, tu as été super sympa...C'est vraiment cool de trouver des gars comme toi qui peuvent aider les débutants !! Encore un grand merci !!!!! a bientot ;-)

Réponse 52 / 69

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
1 août 2007 à 11:15

ok pas de souci

n'hesite pas si pb

sinon bon surf

a +

Réponse 53 / 69

Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
6 août 2007 à 12:55

Re...malheureusement ;-)
L'autre jour mon antivirus m'a mis une fenetre au démarrage...me disant qu'un virus avait été trouvé, et il n'est pas possible de le virer. Dans l'antivirus il est dans les éléments sauvegardés (ni suppr, ni quarantaine).
Il s'agit d'un Backdoor.trojan qui se loge dans Windows\system32\drivers\asc3550u.sys

J'ai essayé avec dllfix.exe, mais meme en mode sans echec, ca plante et ca ne se finit pas (fenetre d'erreur).
Help me please. Thanks

Réponse 54 / 69

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
6 août 2007 à 13:30

scan avec norton en mode sans echec pour le supprimer

ou sinon

combofix (colle le rapport)

http://mickael.barroux.free.fr/securite/combofix.php

________________

Colle le rapport :
Clean permettra de faire du nettoyage et supprimer des fichiers que des anti-virus et anti-spywares n'ont pas pu trouver. Le logiciel est régulièrement mis à jour, vous devrez donc le re-téléchargé pour obtenir une version plus récente.

• Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
• Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
• Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laissez la ouverte jusqu'à ce qu'elle se ferme.

http://kerio.probb.fr/tuto-Clean-h37.html

_______________

colle le rapport d'un scan en ligne
avec un des suivants:

bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

scan en ligne firefox

https://www.trendmicro.com/fr_fr/business.html

________________
télécharger sur le bureau
Navilog.zip
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

= Double-Clic navilog1.zip
= Extraire tout sur le bureau
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1

un rapport : fixnavi.txt dans C : va se creer
le copier/coller dans ton prochain message.

Réponse 55 / 69

Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
6 août 2007 à 13:45

Je ferai ca ce soir car je dois m'absenter... Quand tu dis supprimer en mode sans echec; il faut supprimer le virus...pas le fichier ??
a plus merci

Réponse 56 / 69

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
6 août 2007 à 13:47

tu verra ce que propose norton mais mets le en quarantaine ou supprime le

Réponse 57 / 69

Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
8 août 2007 à 14:05

Le scan de symantec en mode échec n'ayant rien décelé, j'ai fait Combofix...
Le fichier infecté est ds éléments sauvegardés, est ce un enroit ou il ne pourra pas infecter plus ou est ce qu'il est toujours à sa place initiale et pourra continuer à infecter mon ordi ??? rép STP
Que dois je faire ??

ComboFix 07-08-07.6 - "CA" 2007-08-08 13:52:42.1 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.98 [GMT 2:00]
* Created a new restore point

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\DOCUME~1\CA\APPLIC~1\..\new.txt
C:\WINDOWS\system32\1_exception.nls
C:\WINDOWS\system32\drivers\fad.sys

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_ASC3550U
-------\asc3550u
-------\SysLibrary

((((((((((((((((((((((((( Files Created from 2007-07-08 to 2007-08-08 )))))))))))))))))))))))))))))))

2007-08-06 12:34 <REP> d-------- C:\Program Files\dllfix
2007-07-26 19:15 <REP> d-------- C:\Program Files\a-squared Free
2007-07-25 22:19 <REP> d-------- C:\WINDOWS\ERUNT
2007-07-25 21:46 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-25 17:08 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-07-25 17:08 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-07-25 17:00 <REP> d-------- C:\DOCUME~1\CA\.housecall6.6
2007-07-25 16:54 <REP> d-------- C:\Program Files\CCleaner
2007-07-25 15:13 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-07-25 13:55 <REP> d-------- C:\Program Files\Sophos
2007-07-24 15:32 <REP> d-------- C:\DOCUME~1\CA\Contacts
2007-07-10 17:21 <REP> d-------- C:\DOCUME~1\CA\APPLIC~1\SecondLife
2007-07-10 14:38 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-07-10 14:38 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2007-07-10 14:38 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-08 13:59 --------- d-------- C:\Program Files\Symantec AntiVirus
2007-08-08 13:58 --------- d-------- C:\Program Files\Wanadoo
2007-07-25 21:28 --------- d-------- C:\Program Files\BSplayer
2007-07-24 19:34 --------- d-------- C:\Program Files\Winamp
2007-07-24 15:31 --------- d-------- C:\Program Files\MSN Messenger
2007-07-10 14:42 --------- d-------- C:\Program Files\iTunes
2007-07-10 14:40 --------- d-------- C:\Program Files\iPod
2007-07-10 14:22 --------- d-------- C:\Program Files\Apple Software Update
2007-05-16 17:13 86528 --------- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 17:13 85504 --------- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 17:13 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 17:13 683520 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 17:13 510976 --------- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 17:13 1314816 --------- C:\WINDOWS\system32\dllcache\msoe.dll
2007-05-08 10:59 3583488 --a------ C:\WINDOWS\system32\dllcache\mshtml.dll
2006-11-01 13:22 278528 --a------ C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2005-10-31 20:00 11635064 --a------ C:\Program Files\GoogleEarth.exe
2005-05-12 00:36 12288 --a------ C:\WINDOWS\Fonts.\RandFont.dll

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-07-13 23:10]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-03-15 03:04]
"UpdateManager"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 03:01]
"DVDLauncher"="C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-26 10:04]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-03-31 17:38]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-03-31 17:46]
"InstantAccess"="C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.exe" [1998-07-07 18:04]
"RegisterDropHandler"="C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE" [1998-07-07 18:20]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-01-10 21:43]
"MoneyStartUp10.0"="C:\Program Files\Microsoft Money\System\Activation.exe" [2001-07-25 12:00]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12]
"DataLayer"="C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-08-24 13:30]
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE" [2004-08-17 16:04]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" []
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-07-19 12:06]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-06-28 09:14]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-07-19 12:14]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"RegisterDropHandler"=C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-01-26 13:31:52]
Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 01:01:50]
Digital Line Detect.lnk - C:\Program Files\Digital Line Detect\DLG.exe [2004-11-19 14:26:34]
D‚marrage rapide du logiciel HP Image Zone.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 01:49:24]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 00:23:26]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 02:48:20]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegedit"=0 (0x0)
"NoFind"=0 (0x0)
"NoRun"=0 (0x0)
"NoDesktop"=0 (0x0)
"NoClose"=0 (0x0)
"StartMenuLogOff"=0 (0x0)
"HideClock"=0 (0x0)

R0 sonyhcb;Sony Digital Imaging Base;C:\WINDOWS\system32\DRIVERS\sonyhcb.sys
R1 sscdbhk5;sscdbhk5;C:\WINDOWS\system32\drivers\sscdbhk5.sys
R1 ssrtln;ssrtln;C:\WINDOWS\system32\drivers\ssrtln.sys
R2 BASFND;BASFND;\??\C:\WINDOWS\system32\Drivers\BASFND.sys
R2 tfsnpool;tfsnpool;C:\WINDOWS\system32\dla\tfsnpool.sys
S2 Hardlock;hardlock;\??\C:\WINDOWS\system32\drivers\hardlock.sys
S3 MEMSWEEP2;MEMSWEEP2;\??\C:\WINDOWS\system32\2B.tmp
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys
S3 sonyhcs;Sony Digital Imaging Video;C:\WINDOWS\system32\DRIVERS\sonyhcs.sys
S3 USB_RNDIS;Inventel Gateway;C:\WINDOWS\system32\DRIVERS\usb8023.sys
S3 wceusbsh;Windows CE USB Serial Host Driver;C:\WINDOWS\system32\DRIVERS\wceusbsh.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6a82f618-e9cf-11db-a73f-00032f48feb9}]
Auto\command- AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

Contents of the 'Scheduled Tasks' folder
2007-05-31 16:01:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
2007-08-08 11:15:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-08 13:58:37
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-08 14:00:40 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-08 14:00

--- E O F ---

Réponse 58 / 69

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
8 août 2007 à 15:34

Le fichier infecté est ds éléments sauvegardés, est ce un enroit ou il ne pourra pas infecter plus ou est ce qu'il est toujours à sa place initiale et pourra continuer à infecter mon ordi ???

si il est en quarantaine dans norton pas de souci, c'est une zone protégée et donc pas de risque de réinfection pour toi

pour verifier fait clean, et le scan en ligne svp et colle navilog

Réponse 59 / 69

Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
9 août 2007 à 12:42

Ben il n'est pas dans le dossier "quarantaine" mais dans le dossier "Elements sauvegardés"...Je ne sais pas à quoi ca correspond...
Je fais le reste et je colle les scans..

Réponse 60 / 69

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
9 août 2007 à 17:09

si c'est la sauvegarde de windows

désactive la restauration système pour purger les virus qui seraient dedans puis réactive là (dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis paramètre)

Virus Hacktool.Rootkit aidez moi SVP

69 réponses

Discussions similaires