Sujet Précédent Sujet Suivant

Souci de cheval de troie

Résolu
pinka01 Messages postés 81 Statut Membre -  
FillPCA Messages postés 2264 Statut Contributeur sécurité -
Bonjour,
s'il vs plait aider moi j'ai un cheval de troie .

Logfile of HijackThis v1.99.1
Scan saved at 18:20:48, on 02/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WIN-LNA\System32\smss.exe
C:\WIN-LNA\system32\csrss.exe
C:\WIN-LNA\system32\winlogon.exe
C:\WIN-LNA\system32\services.exe
C:\WIN-LNA\system32\lsass.exe
C:\WIN-LNA\system32\svchost.exe
C:\WIN-LNA\system32\svchost.exe
C:\WIN-LNA\System32\svchost.exe
C:\WIN-LNA\system32\svchost.exe
c:\assdwk.exe
C:\WIN-LNA\system32\svchost.exe
C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
C:\Program LNA\Alwil Software\Avast4\ashServ.exe
C:\Program LNA\Common\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WIN-LNA\system\lsass.exe
C:\WIN-LNA\system32\spoolsv.exe
C:\WIN-LNA\system\lsass.exe
C:\WIN-LNA\system32\ctfmon.exe
C:\Program LNA\SuperCopier2\SuperCopier2.exe
C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program LNA\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WIN-LNA\system32\sjcmvoha.exe
C:\WIN-LNA\system32\cr.exe
C:\Program LNA\Common\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
C:\WIN-LNA\system32\svchost.exe
C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe
C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe
C:\WIN-LNA\System32\alg.exe
C:\WIN-LNA\system32\wscntfy.exe
C:\WIN-LNA\system32\nu.exe
C:\Program LNA\Internet Explorer\iexplore.exe
C:\Program LNA\MSN Messenger\msnmsgr.exe
C:\Program LNA\Internet Explorer\iexplore.exe
C:\Program LNA\Common\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WIN-LNA\explorer.exe
C:\Program LNA\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program LNA\Internet Explorer\iexplore.exe
C:\Program LNA\Alwil Software\Avast4\ashSimpl.exe
C:\Program LNA\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WIN-LNA\system32\userinit.exe,c:\assdwk.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program LNA\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program LNA\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7A2D856F-E2F0-4B4B-B55D-23FF803C2EE4} - C:\WIN-LNA\system32\geedb.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WIN-LNA\system32\tqtavlhk.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program LNA\Common\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program LNA\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program lna\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program LNA\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program lna\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program LNA\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WIN-LNA\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program LNA\Common\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Lsass Services] C:\WIN-LNA\system\lsass.exe
O4 - HKLM\..\Run: [rmftpvrgccn] C:\WIN-LNA\system32\rmftpvrgccn.exe
O4 - HKLM\..\Run: [Network Translation Service] "c:\assdwk.exe" *
O4 - HKLM\..\Run: [v] C:\WIN-LNA\system32\v.exe
O4 - HKLM\..\Run: [eeoufextw] C:\WIN-LNA\system32\eeoufextw.exe
O4 - HKLM\..\Run: [skqruez] C:\WIN-LNA\system32\skqruez.exe
O4 - HKLM\..\Run: [mirxiovpeu] C:\WIN-LNA\system32\mirxiovpeu.exe
O4 - HKLM\..\Run: [uupq] C:\WIN-LNA\system32\uupq.exe
O4 - HKLM\..\Run: [dzjiiz] C:\WIN-LNA\system32\dzjiiz.exe
O4 - HKLM\..\Run: [xfnss] C:\WIN-LNA\system32\xfnss.exe
O4 - HKLM\..\Run: [qwjwyjbzcs] C:\WIN-LNA\system32\qwjwyjbzcs.exe
O4 - HKLM\..\Run: [worcfhmkisv] C:\WIN-LNA\system32\worcfhmkisv.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WIN-LNA\system32\gbiwcerg.dll",sitypnow
O4 - HKLM\..\Run: [cr] C:\WIN-LNA\system32\cr.exe
O4 - HKLM\..\Run: [nu] C:\WIN-LNA\system32\nu.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WIN-LNA\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program LNA\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [swg] C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program LNA\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Network Translation Service] "c:\assdwk.exe" *
O4 - HKCU\..\Run: [updateMgr] C:\Program LNA\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5
O4 - HKCU\..\Run: [msnmsgr] "C:\Program LNA\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program LNA\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A796129-96D9-4DA7-81CD-4846297A732A}: NameServer = 196.217.246.210 212.217.0.13
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program LNA\Common\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\Common\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: byxwvvv - C:\WIN-LNA\SYSTEM32\byxwvvv.dll
O20 - Winlogon Notify: efcaaaa - C:\WIN-LNA\SYSTEM32\efcaaaa.dll
O20 - Winlogon Notify: igfxcui - C:\WIN-LNA\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: iifdbab - C:\WIN-LNA\SYSTEM32\iifdbab.dll
O20 - Winlogon Notify: ljjjkkh - C:\WIN-LNA\SYSTEM32\ljjjkkh.dll
O20 - Winlogon Notify: tuvttrr - C:\WIN-LNA\SYSTEM32\tuvttrr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DomainService - - C:\WIN-LNA\system32\sjcmvoha.exe
O23 - Service: Print Spooler Service (eahcruy9ea) - Unknown owner - C:\WIN-LNA\system32\mmxhuu.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program LNA\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program LNA\Common\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: olMntrService - Olivetti - C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program LNA\TuneUp Utilities 2006\WinStylerThemeSvc.exe
A voir également:

30 réponses

  • 1
  • 2
Réponse 1 / 30
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Bonsoir,

Ton PC est très infecté. C'est pas un cheval, mais un haras.

# Télécharge Vundofix (par Atribune) sur ton Bureau : http://www.atribune.org/ccount/click.php?id=4
# Double-clique VundoFix.exe afin de le lancer.
# Clique sur le bouton Scan for Vundo.
# Lorsque le scan est complété, clique sur le bouton Remove Vundo (uniquement si des fichiers infectieux sont trouvés).
# Une invite te demandera si tu veux supprimer les fichiers, clique YES.
# Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
# Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK.
# Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

FillPCA
0
Réponse 2 / 30
Utilisateur anonyme
 
Bonsoir,
Connecte toi sur : www.virustotal.com
soumet : c:\assdwk.exe

si virus, supprimer :
O4 - HKLM\..\Run: [Network Translation Service] "c:\assdwk.exe" *

O4 - HKCU\..\Run: [Network Translation Service] "c:\assdwk.exe" *

Sur hijackthis surpprime (fix checked) :

C:\WIN-LNA\system32\sjcmvoha.exe

O2 - BHO: (no name) - {7A2D856F-E2F0-4B4B-B55D-23FF803C2EE4} - C:\WIN-LNA\system32\geedb.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WIN-LNA\system32\tqtavlhk.dll

O4 - HKLM\..\Run: [Windows Lsass Services] C:\WIN-LNA\system\lsass.exe

O4 - HKLM\..\Run: [rmftpvrgccn] C:\WIN-LNA\system32\rmftpvrgccn.exe

O4 - HKLM\..\Run: [eeoufextw] C:\WIN-LNA\system32\eeoufextw.exe

O4 - HKLM\..\Run: [skqruez] C:\WIN-LNA\system32\skqruez.exe

O4 - HKLM\..\Run: [mirxiovpeu] C:\WIN-LNA\system32\mirxiovpeu.exe

O4 - HKLM\..\Run: [uupq] C:\WIN-LNA\system32\uupq.exe

O4 - HKLM\..\Run: [dzjiiz] C:\WIN-LNA\system32\dzjiiz.exe

O4 - HKLM\..\Run: [xfnss] C:\WIN-LNA\system32\xfnss.exe

O4 - HKLM\..\Run: [qwjwyjbzcs] C:\WIN-LNA\system32\qwjwyjbzcs.exe

O4 - HKLM\..\Run: [worcfhmkisv] C:\WIN-LNA\system32\worcfhmkisv.exe

O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WIN-LNA\system32\gbiwcerg.dll",sitypnow

O4 - HKLM\..\Run: [cr] C:\WIN-LNA\system32\cr.exe

O4 - HKLM\..\Run: [nu] C:\WIN-LNA\system32\nu.exe

O20 - Winlogon Notify: byxwvvv - C:\WIN-LNA\SYSTEM32\byxwvvv.dll

O20 - Winlogon Notify: efcaaaa - C:\WIN-LNA\SYSTEM32\efcaaaa.dll

O20 - Winlogon Notify: igfxcui - C:\WIN-LNA\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: iifdbab - C:\WIN-LNA\SYSTEM32\iifdbab.dll

O20 - Winlogon Notify: ljjjkkh - C:\WIN-LNA\SYSTEM32\ljjjkkh.dll

O20 - Winlogon Notify: tuvttrr - C:\WIN-LNA\SYSTEM32\tuvttrr.dll

O23 - Service: DomainService - - C:\WIN-LNA\system32\sjcmvoha.exe

23 - Service: Print Spooler Service (eahcruy9ea) - Unknown owner - C:\WIN-LNA\system32\mmxhuu.exe

OUFFFFFFFFFF
redemarre l'ordinateur, reposte un rapport, on supprimera les fichiers plus tard !
0
Réponse 3 / 30
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Bonsoir Dorgane,
Les lignes que tu fais fixer ne disparaitront pas toutes ainsi. C'est Vundo.
Je m'occupe du sujet.

FillPCA
0
Réponse 4 / 30
pinka01 Messages postés 81 Statut Membre
 
bsr
d'acord .merci j veux essayer tes conseils maintenant , mais prq quand je lance le scan avec mon antivirus avast
il fait un alerte de cheval de troie sur mon pc
win32.crack search[trj]
win32.tiny-IF[trj]
win32 adware_ge
win32.winfixer.f[trj]
trojan_gen
j'ai installé aussi Ad-aware SE pr remove adware mais sans aucun resultats.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 30
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Re,
Ces étalons doivent être installés sur ton pc. Quand l'outil scanne les dossiers, il les trouve.
Désactive temporairement Avast pendant le scan.

FillPCA
0
Réponse 6 / 30
pinka01 Messages postés 81 Statut Membre
 
bsr
ben j'i fais cmme vs avez dis. j bloque avast pendant le scan , j'ai aussi abodonnée la connexion( tirer le fil d'internet) puis je recommencer le scan . mais il y a des objes negligeables au resultats . puis j'ai lance le scan avec avast toujours il ya 3 chevaux de troie.
vraiment j'en ai marre l pc revient trés lourd , je pense de le formater .
s'il vs plait conseillez moi
0
Réponse 7 / 30
Utilisateur anonyme
 
Essaye ca :
http://mickael.barroux.free.fr/securite/vundo.php
0
Réponse 8 / 30
pinka01 Messages postés 81 Statut Membre
 
merci c tres interessants les memes aspects que je constate (declenchement des winativirus, drivecleaner.......)
alors je dois telecharger vundofix n'est ce pas .
0
Réponse 9 / 30
Utilisateur anonyme
 
ben suis la procédure du site, je vais pas te copier ce qui est déjà ecrit.
0
Réponse 10 / 30
pinka01 Messages postés 81 Statut Membre
 
ben .merci bcp
j'ai suivis les procedures de sites .et voila le rapport .
Logfile of HijackThis v1.99.1
Scan saved at 23:28:35, on 03/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WIN-LNA\System32\smss.exe
C:\WIN-LNA\system32\csrss.exe
C:\WIN-LNA\system32\winlogon.exe
C:\WIN-LNA\system32\services.exe
C:\WIN-LNA\system32\lsass.exe
C:\WIN-LNA\system32\svchost.exe
C:\WIN-LNA\system32\svchost.exe
C:\WIN-LNA\System32\svchost.exe
C:\WIN-LNA\system32\svchost.exe
C:\WIN-LNA\system32\svchost.exe
C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
C:\Program LNA\Alwil Software\Avast4\ashServ.exe
C:\WIN-LNA\Explorer.EXE
C:\WIN-LNA\system32\spoolsv.exe
C:\WIN-LNA\system32\rtooqrnonu.exe
C:\Program LNA\Common\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
C:\WIN-LNA\system32\svchost.exe
C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe
C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe
C:\WIN-LNA\System32\alg.exe
C:\WIN-LNA\system32\wscntfy.exe
C:\Program LNA\Common\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WIN-LNA\system\lsass.exe
C:\assdwk.exe
C:\WIN-LNA\system\lsass.exe
C:\WIN-LNA\system32\ctfmon.exe
C:\Program LNA\SuperCopier2\SuperCopier2.exe
C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program LNA\Messenger\msmsgs.exe
C:\Program LNA\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program LNA\internet explorer\iexplore.exe
C:\Program LNA\Common\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program LNA\internet explorer\iexplore.exe
C:\WIN-LNA\system32\jrrywywlesg.exe
C:\Program LNA\internet explorer\iexplore.exe
C:\Program LNA\TuneUp Utilities 2006\SystemOptimizer.exe
C:\Program LNA\TuneUp Utilities 2006\RegistryCleaner.exe
C:\Program LNA\TuneUp Utilities 2006\DiskCleaner.exe
C:\Program LNA\Alwil Software\Avast4\ashSimpl.exe
C:\Program LNA\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program lna\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program LNA\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WIN-LNA\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program LNA\Common\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Lsass Services] C:\WIN-LNA\system\lsass.exe
O4 - HKLM\..\Run: [rmftpvrgccn] C:\WIN-LNA\system32\rmftpvrgccn.exe
O4 - HKLM\..\Run: [Network Translation Service] "C:\assdwk.exe" *
O4 - HKLM\..\Run: [eeoufextw] C:\WIN-LNA\system32\eeoufextw.exe
O4 - HKLM\..\Run: [skqruez] C:\WIN-LNA\system32\skqruez.exe
O4 - HKLM\..\Run: [mirxiovpeu] C:\WIN-LNA\system32\mirxiovpeu.exe
O4 - HKLM\..\Run: [uupq] C:\WIN-LNA\system32\uupq.exe
O4 - HKLM\..\Run: [dzjiiz] C:\WIN-LNA\system32\dzjiiz.exe
O4 - HKLM\..\Run: [xfnss] C:\WIN-LNA\system32\xfnss.exe
O4 - HKLM\..\Run: [qwjwyjbzcs] C:\WIN-LNA\system32\qwjwyjbzcs.exe
O4 - HKLM\..\Run: [worcfhmkisv] C:\WIN-LNA\system32\worcfhmkisv.exe
O4 - HKLM\..\Run: [cr] C:\WIN-LNA\system32\cr.exe
O4 - HKLM\..\Run: [nu] C:\WIN-LNA\system32\nu.exe
O4 - HKLM\..\Run: [mmxhuu] C:\WIN-LNA\system32\mmxhuu.exe
O4 - HKLM\..\Run: [rtooqrnonu] C:\WIN-LNA\system32\rtooqrnonu.exe
O4 - HKLM\..\Run: [jrrywywlesg] C:\WIN-LNA\system32\jrrywywlesg.exe
O4 - HKLM\..\RunServices: [rtooqrnonu] C:\WIN-LNA\system32\rtooqrnonu.exe
O4 - HKLM\..\RunServices: [jrrywywlesg] C:\WIN-LNA\system32\jrrywywlesg.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WIN-LNA\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program LNA\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [swg] C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program LNA\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Network Translation Service] "C:\assdwk.exe" *
O4 - HKCU\..\Run: [updateMgr] C:\Program LNA\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5
O4 - HKCU\..\Run: [msnmsgr] "C:\Program LNA\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program LNA\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A796129-96D9-4DA7-81CD-4846297A732A}: NameServer = 196.217.246.210 212.217.0.13
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program LNA\Common\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\Common\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Print Spooler Service (eahcruy9ea) - Unknown owner - C:\WIN-LNA\system32\jrrywywlesg.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program LNA\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program LNA\Common\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: olMntrService - Olivetti - C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program LNA\TuneUp Utilities 2006\WinStylerThemeSvc.exe
0
Réponse 11 / 30
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Bonjour,

1/ # Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
# Imprime ceci.
# Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

* Redémarre ton ordinateur.
* Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
* Choisis ton compte.

# Déroule la liste des instructions ci-dessous :

* En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le script.
* Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
* Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

2/ * Télécharge Brute Force Uninstaller (de Merijn) : http://www.merijn.org/files/bfu.zip
* Créé un nouveau dossier directement sur le C:\ et nomme-le BFU.
* Décompresse le fichier téléchargé dans ce nouveau dossier au moyen d'un clic droit (Extraire vers...C:\BFU).
* Ouvre le bloc-note de windows.
* Copie-colle ces lignes dans la fenêtre du bloc-note :

OptionUnloadShell

Processkill \rmftpvrgccn.exe|1
Processkill \assdwk.exe|1
Processkill \eeoufextw.exe|1
Processkill \skqruez.exe|1
Processkill \mirxiovpeu.exe|1
Processkill \uupq.exe|1
Processkill \dzjiiz.exe|1
Processkill \xfnss.exe|1
Processkill \qwjwyjbzcs.exe|1
Processkill \worcfhmkisv.exe|1
Processkill \cr.exe|1
Processkill \nu.exe|1
Processkill \mmxhuu.exe|1
Processkill \rtooqrnonu.exe|1
Processkill \jrrywywlesg.exe|1

RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|rmftpvrgccn
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Network Translation Service
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|eeoufextw
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|skqruez
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mirxiovpeu
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|uupq
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dzjiiz
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xfnss
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|qwjwyjbzcs
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|worcfhmkisv
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|cr
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|nu
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mmxhuu
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|rtooqrnonu
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|jrrywywlesg
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|rtooqrnonu
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|jrrywywlesg
RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Network Translation Service

ServiceStop eahcruy9ea
ServiceDisable eahcruy9ea
ServiceDelete eahcruy9ea

FileDelete %SYSDIR%\rmftpvrgccn.exe
FileDelete %SYSDIR%\assdwk.exe
FileDelete %SYSDIR%\eeoufextw.exe
FileDelete %SYSDIR%\skqruez.exe
FileDelete %SYSDIR%\mirxiovpeu.exe
FileDelete %SYSDIR%\uupq.exe
FileDelete %SYSDIR%\dzjiiz.exe
FileDelete %SYSDIR%\xfnss.exe
FileDelete %SYSDIR%\qwjwyjbzcs.exe
FileDelete %SYSDIR%\worcfhmkisv.exe
FileDelete %SYSDIR%\cr.exe
FileDelete %SYSDIR%\nu.exe
FileDelete %SYSDIR%\mmxhuu.exe
FileDelete %SYSDIR%\rtooqrnonu.exe
FileDelete %SYSDIR%\jrrywywlesg.exe

SystemEmptyTempFolder
SystemEmptyInternetCache
SystemEmptyRecycleBin

* Enregistre le fichier sur le bureau en fix.txt
* Fais un clic droit sur ce fichier, choisis Renommer et dans la case, indique le nom fix.BFU.
* Déplace-le dans le même dossier que Brute Force Uninstaller soit dans c:\BFU
* Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : fix.bfu et BFU.exe (très important).
* Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 (ou F5); tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
* Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU).
* Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : fix.bfu.
* Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\fix.bfu
* Clique sur Execute et laisse-le faire son travail.
* Attendre que Complete script execution apparaîsse et clique sur OK.
* Clique Exit pour fermer le programme BFU.
* Redémarre normalement ton PC.

3/ * Télécharge navilog1 (Merci il.mafioso!)

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

* Ensuite double clique sur navilog1.exe pour lancer l'installation.

* Une fois l'installation terminée, le fix s'exécutera automatiquement.

* (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

* Laisse-toi guider. Au menu principal, choisis 1 et valides.

/*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\

* Patiente jusqu'au message : *** Analyse terminée le ..... ***

* Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.

* Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.

* Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

4/ Edite les rapports suivants : SDfix, Navilog et un nouveau rapport Hijackthis.

FillPCA
0
Réponse 12 / 30
pinka01 Messages postés 81 Statut Membre
 
Bonjour,

merci encore une fois . voila les rapports:

sdfix:
SDFix: Version 1.107

Run by Administrateur on 04/10/2007 at 10:30

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\ADMINI~1\Bureau\NOUVEA~1\SDFix

Safe Mode:
Checking Services:

Name:
eahcruy9ea

ImagePath:
C:\WIN-LNA\system32\oaag.exe /service

eahcruy9ea - Deleted

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

Trojan Files Found:

C:\WIN-LNA\SYSTEM32\RMFTPV~1.EXE - Deleted
C:\WIN-LNA\IMG-0012.zip - Deleted
C:\WIN-LNA\system\lsass.exe - Deleted

Removing Temp Files...

ADS Check:

C:\WIN-LNA
No streams found.

C:\WIN-LNA\system32
No streams found.

C:\WIN-LNA\system32\svchost.exe
No streams found.

C:\WIN-LNA\system32\ntoskrnl.exe
No streams found.

Final Check:

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\assdwk.exe"="C:\\assdwk.exe:*:Enabled:NTS"
"C:\\WIN-LNA\\system\\lsass.exe"="C:\\WIN-LNA\\system\\lsass.exe:*:Enabled:Windows Sharing"
"\\??\\C:\\WIN-LNA\\system32\\winlogon.exe"="\\??\\C:\\WIN-LNA\\system32\\winlogon.exewinlogon.exe:*:Enabled:NTS"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\NOUVEA~1\SDFix\backups\backups.zip

Files with Hidden Attributes:

Mon 5 May 2003 94,292 ..SH. --- "C:\COMMAND.COM"
Thu 6 Sep 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Mon 17 Sep 2007 20 A..H. --- "C:\Documents and Settings\Administrateur\Application Data\Real\rhapsody\wmlicbackup\drmv1lic.bak"
Thu 6 Sep 2007 4,348 ...H. --- "C:\Documents and Settings\Administrateur\Application Data\Real\rhapsody\wmlicbackup\drmv1key.bak"
Fri 17 Aug 2007 312 A.SH. --- "C:\Documents and Settings\Administrateur\Application Data\Real\rhapsody\wmlicbackup\drmv2key.bak"

Finished!

puis navilog1Search Navipromo version 3.2.0 commencé le 04/10/2007 à 11:11:59,23

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program LNA\navilog1
Mise a jour le 30.09.2007 a 18h00 by IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WIN-LNA ***

*** Recherche dossiers dans C:\Program LNA ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Administrateur\Application Data ***

*** Recherche dossiers dans ***

*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WIN-LNA\system32
- C:\Documents and Settings\Administrateur\local settings\application data

*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WIN-LNA\system32 *

* Scan C:\Documents and Settings\Administrateur\local settings\application data *

*** Recherche fichiers ***

*** Recherche cles registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

3)Recherche Certificats :

Certificat Egroup absent !

*** Analyse Terminé le 04/10/2007 à 11:12:20,25 ***
et enfin hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 11:15:39, on 04/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WIN-LNA\System32\smss.exe
C:\WIN-LNA\system32\csrss.exe
C:\WIN-LNA\system32\winlogon.exe
C:\WIN-LNA\system32\services.exe
C:\WIN-LNA\system32\lsass.exe
C:\WIN-LNA\system32\svchost.exe
C:\WIN-LNA\system32\svchost.exe
C:\WIN-LNA\System32\svchost.exe
C:\WIN-LNA\system32\svchost.exe
C:\WIN-LNA\system32\svchost.exe
C:\assdwk.exe
C:\WIN-LNA\Explorer.EXE
C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
C:\Program LNA\Alwil Software\Avast4\ashServ.exe
C:\Program LNA\Common\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WIN-LNA\system32\ctfmon.exe
C:\Program LNA\SuperCopier2\SuperCopier2.exe
C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program LNA\Messenger\msmsgs.exe
C:\Program LNA\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WIN-LNA\system32\spoolsv.exe
C:\Program LNA\Common\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
C:\WIN-LNA\system32\svchost.exe
C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe
C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe
C:\WIN-LNA\system32\wscntfy.exe
C:\WIN-LNA\System32\alg.exe
C:\Program LNA\Internet Explorer\IEXPLORE.EXE
C:\Program LNA\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WIN-LNA\system32\userinit.exe,C:\assdwk.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program lna\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program LNA\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WIN-LNA\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program LNA\Common\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Network Translation Service] "C:\assdwk.exe" *
O4 - HKLM\..\Run: [eeoufextw] C:\WIN-LNA\system32\eeoufextw.exe
O4 - HKLM\..\Run: [skqruez] C:\WIN-LNA\system32\skqruez.exe
O4 - HKLM\..\Run: [mirxiovpeu] C:\WIN-LNA\system32\mirxiovpeu.exe
O4 - HKLM\..\Run: [uupq] C:\WIN-LNA\system32\uupq.exe
O4 - HKLM\..\Run: [dzjiiz] C:\WIN-LNA\system32\dzjiiz.exe
O4 - HKLM\..\Run: [xfnss] C:\WIN-LNA\system32\xfnss.exe
O4 - HKLM\..\Run: [qwjwyjbzcs] C:\WIN-LNA\system32\qwjwyjbzcs.exe
O4 - HKLM\..\Run: [worcfhmkisv] C:\WIN-LNA\system32\worcfhmkisv.exe
O4 - HKLM\..\Run: [cr] C:\WIN-LNA\system32\cr.exe
O4 - HKLM\..\Run: [nu] C:\WIN-LNA\system32\nu.exe
O4 - HKLM\..\Run: [mmxhuu] C:\WIN-LNA\system32\mmxhuu.exe
O4 - HKLM\..\Run: [rtooqrnonu] C:\WIN-LNA\system32\rtooqrnonu.exe
O4 - HKLM\..\Run: [jrrywywlesg] C:\WIN-LNA\system32\jrrywywlesg.exe
O4 - HKLM\..\Run: [fgrsbh] C:\WIN-LNA\system32\fgrsbh.exe
O4 - HKLM\..\Run: [oaag] C:\WIN-LNA\system32\oaag.exe
O4 - HKLM\..\RunServices: [rtooqrnonu] C:\WIN-LNA\system32\rtooqrnonu.exe
O4 - HKLM\..\RunServices: [jrrywywlesg] C:\WIN-LNA\system32\jrrywywlesg.exe
O4 - HKLM\..\RunServices: [uupq] C:\WIN-LNA\system32\uupq.exe
O4 - HKLM\..\RunServices: [fgrsbh] C:\WIN-LNA\system32\fgrsbh.exe
O4 - HKLM\..\RunServices: [oaag] C:\WIN-LNA\system32\oaag.exe
O4 - HKLM\..\RunServices: [dzjiiz] C:\WIN-LNA\system32\dzjiiz.exe
O4 - HKLM\..\RunServices: [worcfhmkisv] C:\WIN-LNA\system32\worcfhmkisv.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WIN-LNA\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program LNA\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [swg] C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program LNA\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Network Translation Service] "C:\assdwk.exe" *
O4 - HKCU\..\Run: [updateMgr] C:\Program LNA\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program LNA\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A796129-96D9-4DA7-81CD-4846297A732A}: NameServer = 196.217.246.210 212.217.0.13
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program LNA\Common\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\Common\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program LNA\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program LNA\Common\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: olMntrService - Olivetti - C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program LNA\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Print Spooler Service (yiy4aygiimyi6) - Unknown owner - C:\WIN-LNA\system32\xfnss.exe
0
Réponse 13 / 30
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Re,
On recommence la manip avec Brute Force. As-tu rencontré des problèmes pour sa réalisation ?

* Imprime ceci.
* Télécharge Brute Force Uninstaller (de Merijn) : http://www.merijn.org/files/bfu.zip
* Créé un nouveau dossier directement sur le C:\ et nomme-le BFU.
* Décompresse le fichier téléchargé dans ce nouveau dossier au moyen d'un clic droit (Extraire vers...C:\BFU).
* Ouvre le bloc-note de windows.
* Copie-colle ces lignes dans la fenêtre du bloc-note :

OptionUnloadShell

Processkill \assdwk.exe|1
Processkill \eeoufextw.exe|1
Processkill \skqruez.exe|1
Processkill \mirxiovpeu.exe|1
Processkill \uupq.exe|1
Processkill \dzjiiz.exe|1
Processkill \xfnss.exe|1
Processkill \qwjwyjbzcs.exe|1
Processkill \worcfhmkisv.exe|1
Processkill \cr.exe|1
Processkill \nu.exe|1
Processkill \mmxhuu.exe|1
Processkill \rtooqrnonu.exe|1
Processkill \jrrywywlesg.exe|1
Processkill \fgrsbh.exe|1
Processkill \oaag.exe|1

RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Network Translation Service
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|eeoufextw
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|skqruez
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mirxiovpeu
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|uupq
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dzjiiz
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xfnss
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|qwjwyjbzcs
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|worcfhmkisv
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|cr
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|nu
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mmxhuu
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|rtooqrnonu
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|jrrywywlesg
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|fgrsbh
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|oaag
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|rtooqrnonu
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|jrrywywlesg
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|uupq
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|fgrsbh
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|oaag
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|dzjiiz
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|worcfhmkisv
RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Network Translation Service

ServiceStop yiy4aygiimyi6
ServiceDisable yiy4aygiimyi6
ServiceDelete yiy4aygiimyi6

FileDelete %SYSDIR%\eeoufextw.exe
FileDelete %SYSDIR%\skqruez.exe
FileDelete %SYSDIR%\mirxiovpeu.exe
FileDelete %SYSDIR%\uupq.exe
FileDelete %SYSDIR%\dzjiiz.exe
FileDelete %SYSDIR%\xfnss.exe
FileDelete %SYSDIR%\qwjwyjbzcs.exe
FileDelete %SYSDIR%\worcfhmkisv.exe
FileDelete %SYSDIR%\cr.exe
FileDelete %SYSDIR%\nu.exe
FileDelete %SYSDIR%\mmxhuu.exe
FileDelete %SYSDIR%\rtooqrnonu.exe
FileDelete %SYSDIR%\jrrywywlesg.exe
FileDelete %SYSDIR%\fgrsbh.exe
FileDelete %SYSDIR%\oaag.exe
FileDelete %SYSTEMDRIVE%\assdwk.exe

SystemEmptyTempFolder
SystemEmptyInternetCache
SystemEmptyRecycleBin

* Enregistre le fichier sur le bureau en fix.txt
* Fais un clic droit sur ce fichier, choisis Renommer et dans la case, indique le nom fix.BFU.
* Déplace-le dans le même dossier que Brute Force Uninstaller soit dans c:\BFU
* Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : fix.bfu et BFU.exe (très important).
* Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 (ou F5); tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
* Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU).
* Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : fix.bfu.
* Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\fix.bfu
* Clique sur Execute et laisse-le faire son travail.
* Attendre que Complete script execution apparaîsse et clique sur OK.
* Clique Exit pour fermer le programme BFU.
* Redémarre normalement ton PC.

Edite aussi un rapport Hijackthis.

FillPCA
0
Réponse 14 / 30
pinka01
 
ben merci bien ,j'ai suvis les etapes . j'éspére avoir des good news

Script started at 22:42:25, on 04/10/2007

Option Unload Explorer: Yes
Failed: ServiceStop yiy4aygiimyi6 (operation failed)
Failed: FileDelete C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFC1BC.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFC908.tmp (operation failed)
Script completed.

et pr le hijackthis est:
Logfile of HijackThis v1.99.1
Scan saved at 22:49:56, on 04/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WIN-LNA\System32\smss.exe
C:\WIN-LNA\system32\csrss.exe
C:\WIN-LNA\system32\winlogon.exe
C:\WIN-LNA\system32\services.exe
C:\WIN-LNA\system32\lsass.exe
C:\WIN-LNA\system32\svchost.exe
C:\WIN-LNA\system32\svchost.exe
C:\WIN-LNA\System32\svchost.exe
C:\WIN-LNA\system32\svchost.exe
C:\WIN-LNA\system32\svchost.exe
C:\WIN-LNA\Explorer.EXE
C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
C:\Program LNA\Alwil Software\Avast4\ashServ.exe
C:\WIN-LNA\system32\spoolsv.exe
C:\Program LNA\Common\Real\Update_OB\realsched.exe
C:\Program LNA\Common\Microsoft Shared\VS7DEBUG\mdm.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WIN-LNA\system32\ctfmon.exe
C:\Program LNA\SuperCopier2\SuperCopier2.exe
C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
C:\WIN-LNA\system32\svchost.exe
C:\Program LNA\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe
C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe
C:\WIN-LNA\system32\wscntfy.exe
C:\WIN-LNA\System32\alg.exe
C:\WIN-LNA\system32\wuauclt.exe
C:\Program LNA\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Program LNA\internet explorer\iexplore.exe
C:\Program LNA\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WIN-LNA\system32\userinit.exe,C:\assdwk.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program lna\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program LNA\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WIN-LNA\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program LNA\Common\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [xfnss] C:\WIN-LNA\system32\xfnss.exe
O4 - HKLM\..\RunServices: [cr] C:\WIN-LNA\system32\cr.exe
O4 - HKLM\..\RunServices: [skqruez] C:\WIN-LNA\system32\skqruez.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WIN-LNA\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program LNA\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [swg] C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program LNA\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Program LNA\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program LNA\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A796129-96D9-4DA7-81CD-4846297A732A}: NameServer = 196.217.246.210 212.217.0.13
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program LNA\Common\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\Common\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program LNA\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program LNA\Common\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: olMntrService - Olivetti - C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program LNA\TuneUp Utilities 2006\WinStylerThemeSvc.exe
0
Réponse 15 / 30
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Bonjour,

C'est mieux, mais il en reste.

1/ * Télécharge OTMoveIt (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste List Of Files/Folders to be moved" :

C:\assdwk.exe
C:\WIN-LNA\system32\xfnss.exe
C:\WIN-LNA\system32\cr.exe
C:\WIN-LNA\system32\skqruez.exe

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

2/ Ouvre Hijackthis>"Faire une analyse seulement" et coche ceci :
F2 - REG:system.ini: UserInit=C:\WIN-LNA\system32\userinit.exe,C:\assdwk.exe
O4 - HKLM\..\RunServices: [xfnss] C:\WIN-LNA\system32\xfnss.exe
O4 - HKLM\..\RunServices: [cr] C:\WIN-LNA\system32\cr.exe
O4 - HKLM\..\RunServices: [skqruez] C:\WIN-LNA\system32\skqruez.exe

Clique sur fix/réparer.

3/ Télécharge Ccleaner Basic https://www.ccleaner.com/ccleaner/download

Ouvre Ccleaner, clique sur "lancer le nettoyage".

4/ Télécharge AVGantispyware : https://www.avg.com/en-ww/free-antivirus-download
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Ensuite.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

5/ * Fais un scan en ligne en cliquant ici : http://assiste.com.free.fr/...
* Choisis Kaspersky.
* Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
* Réalise un scan complet du système.
* Sauvegarde le rapport en mode texte à l'issue du scan.

6/ Edite les rapport suivants : OTMoveIt, AVGantispyware, Kaspersky et un nouveau rapport Hijackthis.

FillPCA
0
Réponse 16 / 30
pinka01
 
bjr
mais lorsque je copie
C:\assdwk.exe
C:\WIN-LNA\system32\xfnss.exe
C:\WIN-LNA\system32\cr.exe
C:\WIN-LNA\system32\skqruez.exe

puis je Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results
il me donne ce msg la
can not createfile C:\\\_OTMoveIt\MovedFiles \10052007-11548.log.
0
Réponse 17 / 30
Utilisateur anonyme
 
il ne peut pas créer un fichier de log, tu la lancer otmoveit depuis une archive ?
0
Réponse 18 / 30
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Bonjour,
Il est possible que le script BFU ait déjà supprimé les fichiers sans avoir supprimé les valeurs de registre.

1/ * Ouvrir l'explorateur windows (Démarrer>programmes>Accessoires>Explorateur windows ou Démarrer>programmes>Explorateur windows).
* Cliquer sur outils>options des dossiers>affichage.
* Sélectionner :
o afficher les fichiers et dossiers cachés,
o décocher "masquer les extensions des fichiers dont le type est connu",
o décocher masquer les fichiers protégés du système d'exploitation (recommandé)".

* "appliquer" et "ok"

2/ Vérifie si les fichiers précédents ont bien disparu. Si c'est le cas, puorsuis la procédure.

FillPCA
0
Réponse 19 / 30
pinka01
 
bsr
quels st les fichiers que je dois verifier qu'ils st disparu?
j'ai fais ca
1/ * Ouvrir l'explorateur windows (Démarrer>programmes>Accessoires>Explorateur windows ou Démarrer>programmes>Explorateur windows).
* Cliquer sur outils>options des dossiers>affichage.
* Sélectionner :
o afficher les fichiers et dossiers cachés,
o décocher "masquer les extensions des fichiers dont le type est connu",
o décocher masquer les fichiers protégés du système d'exploitation (recommandé)".

* "appliquer" et "ok"

et j'ai essayé encore une fois mais camarche pas
0
Réponse 20 / 30
FillPCA Messages postés 2264 Statut Contributeur sécurité 123
 
Re,
Ce sont ces fichiers qui ne doivent pas être présents sur ta machine :
C:\assdwk.exe
C:\WIN-LNA\system32\xfnss.exe
C:\WIN-LNA\system32\cr.exe
C:\WIN-LNA\system32\skqruez.exe

S'ils sont effectivemement absents, tu reprends la procédure là où tu l'as laissée.

FillPCA
0

Discussions similaires

Cheval de troie comment le supprimer?
sonia -
^^Marie^^ -

28 réponses
expressions francaises
bifaka -
lanonyme -

4 réponses
virus: comment supprimer ccxprocess (virus cheval de troie)
grrlesang -
bazfile -

1 réponse
cheval dans oblivion
sernaldo53 -
sernaldo53 -

12 réponses
comment se debarasser d un cheval de troie
jennyfer1 -
MrMaDGaME -

66 réponses