Win32.worm.irc.tedeto.a
Résolu/Fermé
oldp0rt
Messages postés
24
Date d'inscription
vendredi 19 octobre 2007
Statut
Membre
Dernière intervention
4 novembre 2007
-
19 oct. 2007 à 03:45
IL-MAFIOSO Messages postés 435 Date d'inscription mardi 2 octobre 2007 Statut Membre Dernière intervention 20 octobre 2009 - 6 nov. 2007 à 21:59
IL-MAFIOSO Messages postés 435 Date d'inscription mardi 2 octobre 2007 Statut Membre Dernière intervention 20 octobre 2009 - 6 nov. 2007 à 21:59
A voir également:
- Win32.worm.irc.tedeto.a
- Win32:malware-gen ✓ - Forum Virus
- Trojan win32 - Forum Virus
- Win32/offercore ✓ - Forum Virus
- Puabundler win32 - Forum Virus
- Hacktool win32 - Forum Virus
57 réponses
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
23 oct. 2007 à 08:58
23 oct. 2007 à 08:58
Up
Just for see.
Thanks.
Note: Combo ==>
•[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4E79F4A-B12F-4616-8A1E-4E0220A87D0A}]
2007-10-14 12:54 308832 --a------ C:\WINDOWS\system32\mljjh.dll
•[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{63288392-646C-4E1F-8FEE-3270517E88E7}"= C:\WINDOWS\system32\pmnkhge.dll [ ]
•[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnkhge]
pmnkhge.dll
•[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\mljjh.dll
1)- BFU.reg ou Fix.reg ?
2)- Aussi peut-être télécharger VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double- clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste dans ta prochaine réponse le rapport VBG.TXT créé sur le bureau.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.
Bonne chance
Bonne journée
Al.
Just for see.
Thanks.
Note: Combo ==>
•[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4E79F4A-B12F-4616-8A1E-4E0220A87D0A}]
2007-10-14 12:54 308832 --a------ C:\WINDOWS\system32\mljjh.dll
•[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{63288392-646C-4E1F-8FEE-3270517E88E7}"= C:\WINDOWS\system32\pmnkhge.dll [ ]
•[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnkhge]
pmnkhge.dll
•[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\mljjh.dll
1)- BFU.reg ou Fix.reg ?
2)- Aussi peut-être télécharger VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double- clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste dans ta prochaine réponse le rapport VBG.TXT créé sur le bureau.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.
Bonne chance
Bonne journée
Al.
IL-MAFIOSO
Messages postés
435
Date d'inscription
mardi 2 octobre 2007
Statut
Membre
Dernière intervention
20 octobre 2009
14
23 oct. 2007 à 21:42
23 oct. 2007 à 21:42
Salut afideg,
Pas évident ici de faire faire des fixreg. Faut être très précis afin qu'il copie ce qu'il faut.
Je voyais celà en manuel pour cette clé entre autre :
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\mljjh.dll
car normalement ce devrait être :
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0
Pas évident ici de faire faire des fixreg. Faut être très précis afin qu'il copie ce qu'il faut.
Je voyais celà en manuel pour cette clé entre autre :
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\mljjh.dll
car normalement ce devrait être :
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
23 oct. 2007 à 22:17
23 oct. 2007 à 22:17
Re,
Je la vois plutôt ainsi :
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=""
pour réinitialiser Authentication Packages.
Qu'en penses-tu ?
Al.
Je la vois plutôt ainsi :
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=""
pour réinitialiser Authentication Packages.
Qu'en penses-tu ?
Al.
oldp0rt
Messages postés
24
Date d'inscription
vendredi 19 octobre 2007
Statut
Membre
Dernière intervention
4 novembre 2007
23 oct. 2007 à 22:41
23 oct. 2007 à 22:41
bon voici le Bitdefender log.
BitDefender Online Scanner
Rapport d'analyse généré à: Tue, Oct 23, 2007 - 16:06:09
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;
Statistiques
Temps
01:32:29
Fichiers
293115
Directoires
6381
Secteurs de boot
3
Archives
3977
Paquets programmes
18597
Résultats
Virus identifiés
3
Fichiers infectés
5
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
5
Info sur les moteurs
Définition virus
857527
Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Analyse des plugins
14
Archive des plugins
38
Unpack des plugins
7
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
*;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071021-165807-471.dll
Détecté avec: Adware.Virtumonde.GGX
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071021-165807-471.dll
Echec de la désinfection
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071021-165807-471.dll
Supprimé
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe=>(RAR Sfx o)
Infecté par: Trojan.Bat.Sdel.F
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe=>(RAR Sfx o)
Echec de la désinfection
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe=>(RAR Sfx o)
Supprimé
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe
Echec de la mise à jour
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP414\A0059263.dll
Détecté avec: Adware.Virtumonde.GGX
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP414\A0059263.dll
Echec de la désinfection
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP414\A0059263.dll
Supprimé
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP415\A0059313.dll
Détecté avec: Adware.Virtumonde.GGX
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP415\A0059313.dll
Echec de la désinfection
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP415\A0059313.dll
Supprimé
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe=>(RAR Sfx o)
Infecté par: Trojan.Bat.Sdel.F
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe=>(RAR Sfx o)
Echec de la désinfection
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe=>(RAR Sfx o)
Supprimé
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe
Echec de la mise à jour
BitDefender Online Scanner
Rapport d'analyse généré à: Tue, Oct 23, 2007 - 16:06:09
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;
Statistiques
Temps
01:32:29
Fichiers
293115
Directoires
6381
Secteurs de boot
3
Archives
3977
Paquets programmes
18597
Résultats
Virus identifiés
3
Fichiers infectés
5
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
5
Info sur les moteurs
Définition virus
857527
Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Analyse des plugins
14
Archive des plugins
38
Unpack des plugins
7
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
*;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071021-165807-471.dll
Détecté avec: Adware.Virtumonde.GGX
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071021-165807-471.dll
Echec de la désinfection
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071021-165807-471.dll
Supprimé
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe=>(RAR Sfx o)
Infecté par: Trojan.Bat.Sdel.F
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe=>(RAR Sfx o)
Echec de la désinfection
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe=>(RAR Sfx o)
Supprimé
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe
Echec de la mise à jour
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP414\A0059263.dll
Détecté avec: Adware.Virtumonde.GGX
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP414\A0059263.dll
Echec de la désinfection
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP414\A0059263.dll
Supprimé
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP415\A0059313.dll
Détecté avec: Adware.Virtumonde.GGX
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP415\A0059313.dll
Echec de la désinfection
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP415\A0059313.dll
Supprimé
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe=>(RAR Sfx o)
Infecté par: Trojan.Bat.Sdel.F
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe=>(RAR Sfx o)
Echec de la désinfection
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe=>(RAR Sfx o)
Supprimé
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe
Echec de la mise à jour
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
IL-MAFIOSO
Messages postés
435
Date d'inscription
mardi 2 octobre 2007
Statut
Membre
Dernière intervention
20 octobre 2009
14
24 oct. 2007 à 10:20
24 oct. 2007 à 10:20
Salut,
afideg : c'est une valeur qui a été modifiée par Vundo. La clé légitime doit être :
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=msv1_0
L'infection a rajouté son fichier derrière, c'est tout.
Si tu fais un fix reg, tu supprimes ou réinitialise OK, mais il faut s'assurer que soit recrée cette "sous clé" avec les paramètres légitimes ou la recréer en même temps avant le reboot.
Car dans le cas ou celà ne se fait pas, le User risque d'avoir de grandes difficultées à se logguer dans sa session, voir plus du tout. Même en session admin sans mot de passe, au reboot Windows va le bloquer et lui demander d'un coup un mot de passe.
oldp0rt, tu es à l'aise dans les manips qu'on fait ?
afideg : c'est une valeur qui a été modifiée par Vundo. La clé légitime doit être :
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=msv1_0
L'infection a rajouté son fichier derrière, c'est tout.
Si tu fais un fix reg, tu supprimes ou réinitialise OK, mais il faut s'assurer que soit recrée cette "sous clé" avec les paramètres légitimes ou la recréer en même temps avant le reboot.
Car dans le cas ou celà ne se fait pas, le User risque d'avoir de grandes difficultées à se logguer dans sa session, voir plus du tout. Même en session admin sans mot de passe, au reboot Windows va le bloquer et lui demander d'un coup un mot de passe.
oldp0rt, tu es à l'aise dans les manips qu'on fait ?
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
24 oct. 2007 à 11:35
24 oct. 2007 à 11:35
Bonjour TLM,
Cit. "interprêtée" : « Si tu .... réinitialises: OK. Mais il faut s'assurer que soit recréée cette "sous clé" avec les paramètres légitimes ou la recréer en même temps avant le reboot » ==> ai-je bien interprêté ?
Dans ce cas, comment faire ces deux vérifications:
•- « qu'elle (Authentication Packages) soit recréée cette "sous clé" (lsa) avec les paramètres légitimes (msv1_0) » ?
•- « ou la recréer (ou qu'elle soit recréée) en même temps avant le reboot » ==> je ne saisi pas (c'est "avant" ou bien "au" reboot ?) ==> même ainsi, je ne vois pas comment s'en assurer ?
En réalité, je ne fais que recopier cette leçon :
• On ne met pas de signe - devant le HKEY lorsqu'on veut supprimer la valeur d'une sous-clé, par exemple, si on a cette valeur "AppInit_DLLs" nuisible :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs"="C:\windows\system32\repairs.dll"
• On utilisera plutôt ce .reg qui réinitialise la valeur:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
(Sans aucune mesure de précaution, ni aucune vérification préventive) ==> c'est ce que je ne comprends pas; bien que je puisse accepter que sur ce PC il y ait détournement Vundo : [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\mljjh.dll; ==> je m'étonne d'ailleurs de l'absence de guillemets.
Réponse ici, ou en MP, ou sur SOS si tu l'acceptes.
Merci pour ta générosité.
Bonne continuation
Al.
Cit. "interprêtée" : « Si tu .... réinitialises: OK. Mais il faut s'assurer que soit recréée cette "sous clé" avec les paramètres légitimes ou la recréer en même temps avant le reboot » ==> ai-je bien interprêté ?
Dans ce cas, comment faire ces deux vérifications:
•- « qu'elle (Authentication Packages) soit recréée cette "sous clé" (lsa) avec les paramètres légitimes (msv1_0) » ?
•- « ou la recréer (ou qu'elle soit recréée) en même temps avant le reboot » ==> je ne saisi pas (c'est "avant" ou bien "au" reboot ?) ==> même ainsi, je ne vois pas comment s'en assurer ?
En réalité, je ne fais que recopier cette leçon :
• On ne met pas de signe - devant le HKEY lorsqu'on veut supprimer la valeur d'une sous-clé, par exemple, si on a cette valeur "AppInit_DLLs" nuisible :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs"="C:\windows\system32\repairs.dll"
• On utilisera plutôt ce .reg qui réinitialise la valeur:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
(Sans aucune mesure de précaution, ni aucune vérification préventive) ==> c'est ce que je ne comprends pas; bien que je puisse accepter que sur ce PC il y ait détournement Vundo : [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\mljjh.dll; ==> je m'étonne d'ailleurs de l'absence de guillemets.
Réponse ici, ou en MP, ou sur SOS si tu l'acceptes.
Merci pour ta générosité.
Bonne continuation
Al.
IL-MAFIOSO
Messages postés
435
Date d'inscription
mardi 2 octobre 2007
Statut
Membre
Dernière intervention
20 octobre 2009
14
24 oct. 2007 à 18:32
24 oct. 2007 à 18:32
oldp0rt : Dis moi lorsque tu es prêt à faire la suite. Entre temps tu peux profiter de cette discussion enrichissante.
Afideg,
On utilisera plutôt ce .reg qui réinitialise la valeur:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
Il arrive souvent que même Hijackthis n'arrive pas à fixer cette ligne 20. Dans ces cas ,moi j'ai l'habitude de faire les deux pour AppInit_DLLs , bien + efficace :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=-
"AppInit_DLLs"=""
Concernant "Authentication Packages"= msv1_0
Voici ce que dit Microsoft :
Do not change the value of this entry. Windows cannot operate with authentication packages other than MSV 1_0. If you change this value or delete the entry, no one will be able to log on to Windows
Réinitialiser cette valeur pourquoi pas, mais quelle sera cette nouvelle valeur ? Es-tu sûr que la donnée de cette clé sera à nouveau MSV 1_0 ou bien la donnée sera vide ?
Tu te souviens des lignes F2 qui étaient aussi Hijacké dans certaines infections ?
Moi je ne préfère pas prendre le risque pour ce genre de clé. Car si celà foire, c'est la mouise
Afideg,
On utilisera plutôt ce .reg qui réinitialise la valeur:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
Il arrive souvent que même Hijackthis n'arrive pas à fixer cette ligne 20. Dans ces cas ,moi j'ai l'habitude de faire les deux pour AppInit_DLLs , bien + efficace :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=-
"AppInit_DLLs"=""
Concernant "Authentication Packages"= msv1_0
Voici ce que dit Microsoft :
Do not change the value of this entry. Windows cannot operate with authentication packages other than MSV 1_0. If you change this value or delete the entry, no one will be able to log on to Windows
Réinitialiser cette valeur pourquoi pas, mais quelle sera cette nouvelle valeur ? Es-tu sûr que la donnée de cette clé sera à nouveau MSV 1_0 ou bien la donnée sera vide ?
Tu te souviens des lignes F2 qui étaient aussi Hijacké dans certaines infections ?
Moi je ne préfère pas prendre le risque pour ce genre de clé. Car si celà foire, c'est la mouise
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
24 oct. 2007 à 22:55
24 oct. 2007 à 22:55
Re,
OK,
C'est assez clair comme ceci.
Attendons d'autres expériences ou échos.
Respectueusement.
Al.
EDIT: Voici un dernier écho:
1°- Selon J.Chrét., le bon argument est bien :
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=""
Chez moi, cette valeur existe bien, mais la donnée de la valeur est vide.
Si on met le signe -, comme ceci:
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=-
la valeur est supprimée, ce qui peut poser des problèmes de démarrage de XP.
J;Chrét. disait qu'on peut la virer avec Avenger en utilisant la commande Registry values to replace with dummies, ce qui correspond bien à cet argument =""
2°- Dans un récent rapport de SDfix, on lit : Resetting AppInit_DLLs value
Je pense que ça répond exactemement à la question qui était posée !
Bien à toi
Al.
OK,
C'est assez clair comme ceci.
Attendons d'autres expériences ou échos.
Respectueusement.
Al.
EDIT: Voici un dernier écho:
1°- Selon J.Chrét., le bon argument est bien :
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=""
Chez moi, cette valeur existe bien, mais la donnée de la valeur est vide.
Si on met le signe -, comme ceci:
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=-
la valeur est supprimée, ce qui peut poser des problèmes de démarrage de XP.
J;Chrét. disait qu'on peut la virer avec Avenger en utilisant la commande Registry values to replace with dummies, ce qui correspond bien à cet argument =""
2°- Dans un récent rapport de SDfix, on lit : Resetting AppInit_DLLs value
Je pense que ça répond exactemement à la question qui était posée !
Bien à toi
Al.
oldp0rt
Messages postés
24
Date d'inscription
vendredi 19 octobre 2007
Statut
Membre
Dernière intervention
4 novembre 2007
24 oct. 2007 à 23:58
24 oct. 2007 à 23:58
IL-MAFIOSO,
J'ai lue ce que tu a ecrit en haut mais je suis pas sur de ce que tu veut que je fasse.
--------------------------
L'infection a rajouté son fichier derrière, c'est tout.
Si tu fais un fix reg, tu supprimes ou réinitialise OK, mais il faut s'assurer que soit recrée cette "sous clé" avec les paramètres légitimes ou la recréer en même temps avant le reboot.
Car dans le cas ou celà ne se fait pas, le User risque d'avoir de grandes difficultées à se logguer dans sa session, voir plus du tout. Même en session admin sans mot de passe, au reboot Windows va le bloquer et lui demander d'un coup un mot de passe.
oldp0rt, tu es à l'aise dans les manips qu'on fait ?
--------------------------------
Et je fait tu les choses que les autres mentionne plus haut?
meri
J'ai lue ce que tu a ecrit en haut mais je suis pas sur de ce que tu veut que je fasse.
--------------------------
L'infection a rajouté son fichier derrière, c'est tout.
Si tu fais un fix reg, tu supprimes ou réinitialise OK, mais il faut s'assurer que soit recrée cette "sous clé" avec les paramètres légitimes ou la recréer en même temps avant le reboot.
Car dans le cas ou celà ne se fait pas, le User risque d'avoir de grandes difficultées à se logguer dans sa session, voir plus du tout. Même en session admin sans mot de passe, au reboot Windows va le bloquer et lui demander d'un coup un mot de passe.
oldp0rt, tu es à l'aise dans les manips qu'on fait ?
--------------------------------
Et je fait tu les choses que les autres mentionne plus haut?
meri
IL-MAFIOSO
Messages postés
435
Date d'inscription
mardi 2 octobre 2007
Statut
Membre
Dernière intervention
20 octobre 2009
14
25 oct. 2007 à 07:41
25 oct. 2007 à 07:41
Salut afideg,
la valeur est supprimée, ce qui peut poser des problèmes de démarrage de XP.
Oui mais tu n'as pas lu ce que j'ai mis :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=-
"AppInit_DLLs"=""
Je la supprime pour la recréer aussitôt. Dans certains cas, c'est le seul moyen pour réinitialiser. Et comme apparement tu questionne jean-chretien1, il ne te dira pas le contraire car lui même utilise aussi celà dans certains cas.
Mais dans le cas de ce topic, la données de la valeur ne doit pas être vide. Sinon le user ne pourra plus entrer dans Windows, que ce soit en mode normal ou mode sans échec.
Dans cet exemple, il faut impérativement que la donnée soit MSV 1_0
oldp0rt non ne fait rien pour l'instant, je te dirais les manips en détails.
la valeur est supprimée, ce qui peut poser des problèmes de démarrage de XP.
Oui mais tu n'as pas lu ce que j'ai mis :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=-
"AppInit_DLLs"=""
Je la supprime pour la recréer aussitôt. Dans certains cas, c'est le seul moyen pour réinitialiser. Et comme apparement tu questionne jean-chretien1, il ne te dira pas le contraire car lui même utilise aussi celà dans certains cas.
Mais dans le cas de ce topic, la données de la valeur ne doit pas être vide. Sinon le user ne pourra plus entrer dans Windows, que ce soit en mode normal ou mode sans échec.
Dans cet exemple, il faut impérativement que la donnée soit MSV 1_0
oldp0rt non ne fait rien pour l'instant, je te dirais les manips en détails.
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
25 oct. 2007 à 09:43
25 oct. 2007 à 09:43
Bonjour et merci IL-MAFIOSO,
Oui, j'étais passé outre de:
"AppInit_DLLs"=-
"AppInit_DLLs"=""
Merci pour tout.
Al.
Oui, j'étais passé outre de:
"AppInit_DLLs"=-
"AppInit_DLLs"=""
Merci pour tout.
Al.
IL-MAFIOSO
Messages postés
435
Date d'inscription
mardi 2 octobre 2007
Statut
Membre
Dernière intervention
20 octobre 2009
14
25 oct. 2007 à 10:27
25 oct. 2007 à 10:27
Salut oldp0rt,
1)Crée un nouveau document texte : clic droit de souris sur le bureau, "nouveau"> "document texte". Ouvre-le et copie-colle dedans de ce qui est entre les ######, ligne vide comprise (copie tout d'un trait). Ne copie pas les ###### :
######################
REGEDIT4
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4E79F4A-B12F-4616-8A1E-4E0220A87D0A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{63288392-646C-4E1F-8FEE-3270517E88E7}"=-
######################
Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix1.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer.
Ferme le blocnote
Double clique sur fix1.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui
2)Vas dans démarrer/exécuter et tapes regedit puis valide.
Dans le panneau de gauche, navigue jusquà la clé en gras puis clique une fois dessus :
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Dans le panneau de droite, double clique sur Authentication Packages.
Dans le champ "données", tu dois avoir msv1_0 C:\WINDOWS\system32\mljjh.dll
Supprime tout ce qui est derrière msv1_0
Ne supprime surtout pas msv1_0
Valide et vérifie dans le panneau de droite que pour la sous clé Authentication Packages est bien inscrit tout à droite msv1_0
C'est très important, si tu as un doute pour la modification de cette clé ou des questions, demande moi.
Si c'est bon, referme l'éditeur de registre et redémarre ton PC.
Si tu as suivi correctement ces instructions, tu ne devrais avoir aucun problème au redémarrage.
Au cas ou (mais si tu suis les instructions tout se passera bien), voici ce que tu feras si tu n'arrives plus à rentrer dans ta session :
- Redémarre ton PC et tapotes la touche F8
- Au menu, choisis "dernière bonne configuration connue" et valide
1)Crée un nouveau document texte : clic droit de souris sur le bureau, "nouveau"> "document texte". Ouvre-le et copie-colle dedans de ce qui est entre les ######, ligne vide comprise (copie tout d'un trait). Ne copie pas les ###### :
######################
REGEDIT4
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4E79F4A-B12F-4616-8A1E-4E0220A87D0A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{63288392-646C-4E1F-8FEE-3270517E88E7}"=-
######################
Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix1.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer.
Ferme le blocnote
Double clique sur fix1.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui
2)Vas dans démarrer/exécuter et tapes regedit puis valide.
Dans le panneau de gauche, navigue jusquà la clé en gras puis clique une fois dessus :
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Dans le panneau de droite, double clique sur Authentication Packages.
Dans le champ "données", tu dois avoir msv1_0 C:\WINDOWS\system32\mljjh.dll
Supprime tout ce qui est derrière msv1_0
Ne supprime surtout pas msv1_0
Valide et vérifie dans le panneau de droite que pour la sous clé Authentication Packages est bien inscrit tout à droite msv1_0
C'est très important, si tu as un doute pour la modification de cette clé ou des questions, demande moi.
Si c'est bon, referme l'éditeur de registre et redémarre ton PC.
Si tu as suivi correctement ces instructions, tu ne devrais avoir aucun problème au redémarrage.
Au cas ou (mais si tu suis les instructions tout se passera bien), voici ce que tu feras si tu n'arrives plus à rentrer dans ta session :
- Redémarre ton PC et tapotes la touche F8
- Au menu, choisis "dernière bonne configuration connue" et valide
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
25 oct. 2007 à 12:37
25 oct. 2007 à 12:37
Re,
ComboFix post#6 donne aussi ==>
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnkhge]
pmnkhge.dll
D'où ceci
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnkhge]
à ajouter en REGEDIT4
Al.
ComboFix post#6 donne aussi ==>
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnkhge]
pmnkhge.dll
D'où ceci
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnkhge]
à ajouter en REGEDIT4
Al.
IL-MAFIOSO
Messages postés
435
Date d'inscription
mardi 2 octobre 2007
Statut
Membre
Dernière intervention
20 octobre 2009
14
25 oct. 2007 à 13:25
25 oct. 2007 à 13:25
Yo j'étais tellement resté sur la clé packages que je l'ai oublié celle-là :)
oldp0rt, voici ce que tu dois copier dansle point 1 (sans les ######)
######################
REGEDIT4
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnkhge]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4E79F4A-B12F-4616-8A1E-4E0220A87D0A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{63288392-646C-4E1F-8FEE-3270517E88E7}"=-
######################
oldp0rt, voici ce que tu dois copier dansle point 1 (sans les ######)
######################
REGEDIT4
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnkhge]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4E79F4A-B12F-4616-8A1E-4E0220A87D0A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{63288392-646C-4E1F-8FEE-3270517E88E7}"=-
######################
oldp0rt
Messages postés
24
Date d'inscription
vendredi 19 octobre 2007
Statut
Membre
Dernière intervention
4 novembre 2007
26 oct. 2007 à 00:47
26 oct. 2007 à 00:47
hey IL-Mafiosos
par point1 tu veut dire cela? mais avec les nouvelles lignes que tu a rajouter.
1)Crée un nouveau document texte : clic droit de souris sur le bureau, "nouveau"> "document texte". Ouvre-le et copie-colle dedans de ce qui est entre les ######, ligne vide comprise (copie tout d'un trait).
Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix1.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer.
Ferme le blocnote
par point1 tu veut dire cela? mais avec les nouvelles lignes que tu a rajouter.
1)Crée un nouveau document texte : clic droit de souris sur le bureau, "nouveau"> "document texte". Ouvre-le et copie-colle dedans de ce qui est entre les ######, ligne vide comprise (copie tout d'un trait).
Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix1.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer.
Ferme le blocnote
IL-MAFIOSO
Messages postés
435
Date d'inscription
mardi 2 octobre 2007
Statut
Membre
Dernière intervention
20 octobre 2009
14
26 oct. 2007 à 07:31
26 oct. 2007 à 07:31
Salut, oui tu prends ce qui est entre les # de mon message du jeudi 25 octobre 2007 à 13h25:48 à la place de l'ancien.
oldp0rt
Messages postés
24
Date d'inscription
vendredi 19 octobre 2007
Statut
Membre
Dernière intervention
4 novembre 2007
27 oct. 2007 à 00:08
27 oct. 2007 à 00:08
Bon alors cela a ete fait.
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
27 oct. 2007 à 00:25
27 oct. 2007 à 00:25
oldp0rt
Il faut revenir en arrière avec HijackThis.
De C:\Program Files\Trend Micro\HijackThis\scanner.exe.exe ,
il faut renommer en C:\Program Files\Trend Micro\HijackThis\HijackThis.exe ;
sinon, il perd des fonctionnalités.
Bonne nuit
Al
Il faut revenir en arrière avec HijackThis.
De C:\Program Files\Trend Micro\HijackThis\scanner.exe.exe ,
il faut renommer en C:\Program Files\Trend Micro\HijackThis\HijackThis.exe ;
sinon, il perd des fonctionnalités.
Bonne nuit
Al
oldp0rt
Messages postés
24
Date d'inscription
vendredi 19 octobre 2007
Statut
Membre
Dernière intervention
4 novembre 2007
27 oct. 2007 à 00:57
27 oct. 2007 à 00:57
Bon jai remis scanner.exe. a HijackThis.exe et voici le scan
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:57:32, on 2007-10-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [AsusServiceProvider] C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:57:32, on 2007-10-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [AsusServiceProvider] C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
oldp0rt
Messages postés
24
Date d'inscription
vendredi 19 octobre 2007
Statut
Membre
Dernière intervention
4 novembre 2007
27 oct. 2007 à 03:25
27 oct. 2007 à 03:25
Je viens de faire une analyse du système avec Norton Anti-Virus puis il a détecté cela.
iskmewon.exe (trojan Horse)
Il marque, unable to repair file.
Je croyais que nous lavions effacer lui plus tôt.
Merci encore de ton aide pour nettoyer mon ordi
iskmewon.exe (trojan Horse)
Il marque, unable to repair file.
Je croyais que nous lavions effacer lui plus tôt.
Merci encore de ton aide pour nettoyer mon ordi