Backdoor:Win32/Rbot.OE
Résolu
RAD ZONE
Messages postés
5362
Statut
Contributeur
-
Kalhed -
Kalhed -
Bonjour,
l outil de supression des malwares microsoft me signifie la supression de ce trojan a chaque demarage !
j ai fais scan antivirus et le nettoyage : spybot , adaware , avg , vide tout les temps et cache et redemare !
toujours la !!!
donc n etant pas un specialiste desinfection je vous poste le log hijack
et vous remercie des aides que vous m apporterez
RAD
l outil de supression des malwares microsoft me signifie la supression de ce trojan a chaque demarage !
j ai fais scan antivirus et le nettoyage : spybot , adaware , avg , vide tout les temps et cache et redemare !
toujours la !!!
donc n etant pas un specialiste desinfection je vous poste le log hijack
et vous remercie des aides que vous m apporterez
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:09:43, on 26/01/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\Sygate\SPF\smc.exe C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\eHome\ehmsas.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Synaptics\SynTP\Toshiba.exe C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\Program Files\Startup Faster\sfAgent.exe C:\WINDOWS\system32\TPSMain.exe C:\WINDOWS\system32\TPSBattM.exe C:\Program Files\TOSHIBA\Tvs\TvsTray.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cm.fr.my.yahoo.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://cm.fr.my.yahoo.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Snap Shots - {BB81C3DB-2DEA-4AE9-96B3-13E6661FF03B} - C:\Program Files\Snap Shots\snapbar1.dll O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\msntb.dll O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Program Files\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\msntb.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll O3 - Toolbar: Snap Shots - {8CD8EA48-D284-477E-B6DF-85D1E39D855F} - C:\Program Files\Snap Shots\snapbar1.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [StartupFaster] "C:\Program Files\Startup Faster\startuploader.exe" -run SFAURUN SFCURUN SFAUSTARTUP SFCUSTARTUP O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: StartupFaster O4 - Global Startup: StartupFaster O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\msntb.dll/search.htm O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm O8 - Extra context menu item: Html To Image - C:\Program Files\Html To Image\menu.htm O8 - Extra context menu item: Open using &Advanced JPEG Compressor - C:\Program Files\Advanced JPEG Compressor\ajcieex.htm O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Program Files\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 11528 bytes
RAD
A voir également:
- Backdoor:Win32/Rbot.OE
- Backdoor - Télécharger - Antivirus & Antimalwares
- Lenovo backdoor - Guide
94 réponses
SALUT
En attendant, peux-tu relancer une analyse chez VirusTotal
le probleme c est que je ne le vois pas !!!??? meme en cochant les bonne case ????
image
RAD
En attendant, peux-tu relancer une analyse chez VirusTotal
le probleme c est que je ne le vois pas !!!??? meme en cochant les bonne case ????
image
RAD
Re,
Une nouvelle au compte-gouttes : SUPERAntiSpyware s'occuperait de ce fichier
Tu as toutes les explications pour l'utiliser ici https://www.malekal.com/?s=SUPERAntiSpyware
Poste le rapport SVP
Merci
EDIT : Voici un autre "canned speech" si ça peut t'aider:
Télécharge Superantispyware (SAS) en cliquant sur ce lien :
https://www.superantispyware.com/superantispywarefreevspro.html (à l'essai 15 jours)
Choisis "enregistrer" et enregistre-le sur ton bureau.
Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.
Créé une icône sur le bureau.
Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.
- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :
Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.
- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.
- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".
Dans la colonne de gauche, coche C:\Fixed Drive.
Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"
Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.
A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.
Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".
Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.
Pour recopier les informations sur le forum, fais ceci :
- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.
- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.
- Copie son contenu dans ta réponse.
Une nouvelle au compte-gouttes : SUPERAntiSpyware s'occuperait de ce fichier
Tu as toutes les explications pour l'utiliser ici https://www.malekal.com/?s=SUPERAntiSpyware
Poste le rapport SVP
Merci
EDIT : Voici un autre "canned speech" si ça peut t'aider:
Télécharge Superantispyware (SAS) en cliquant sur ce lien :
https://www.superantispyware.com/superantispywarefreevspro.html (à l'essai 15 jours)
Choisis "enregistrer" et enregistre-le sur ton bureau.
Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.
Créé une icône sur le bureau.
Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.
- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :
Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.
- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.
- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".
Dans la colonne de gauche, coche C:\Fixed Drive.
Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"
Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.
A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.
Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".
Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.
Pour recopier les informations sur le forum, fais ceci :
- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.
- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.
- Copie son contenu dans ta réponse.
Hello les gars ;o)
Finalement, j'etais pas trop loin ;-))
faut voir si il est bien " super "...antispy !!
pour suivre....
@ +
Jo.
Finalement, j'etais pas trop loin ;-))
faut voir si il est bien " super "...antispy !!
pour suivre....
@ +
Jo.
faut voir si il est bien " super "...antispy
loool pas sur ce coup en tout cas :-)) il as trouve les cookies de mon site web :-))
et toujours le message au reboot ! ;-))
RAD
loool pas sur ce coup en tout cas :-)) il as trouve les cookies de mon site web :-))
et toujours le message au reboot ! ;-))
SUPERAntiSpyware Scan Log https://www.superantispyware.com/ Generated 02/07/2008 at 07:10 PM Application Version : 3.9.1008 Core Rules Database Version : 3259 Trace Rules Database Version: 1270 Scan type : Complete Scan Total Scan Time : 00:46:06 Memory items scanned : 543 Memory threats detected : 0 Registry items scanned : 5963 Registry threats detected : 0 File items scanned : 48768 File threats detected : 2 Adware.Tracking Cookie C:\Documents and Settings\user\Cookies\user@radservebeer.free[3].txt C:\Documents and Settings\user\Cookies\user@radservebeer.free[1].txt
RAD
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
OK
Je passe à table et je reviens plus tard
Lance ce fix.reg:
Procédure "fix.reg" :
... Pour cela : "clic-droit" de souris sur un espace libre du bureau > "Nouveau" > "Document Texte" ( vers le bas du petit menu ), et tu obtiens ceci sur le bureau :< http://img301.imageshack.us/img301/4489/screenshot268qn3.gif >.
- Ouvre-le.
Dans “Format”, veille à bien retirer la coche devant “Retour à la ligne automatique”.
Fais un retour chariot [Enter] après la dernière ligne.
•- "Copier/coller" dedans ce qui est en caractères gras ci-dessous,
( copie tout d'une traite, y compris la ligne REGEDIT4 - avec un intervalle après REGEDIT4 - )
( attention: il faut bien coller dans l'extrême coin supérieur gauche !! ) , ainsi (par exemple) : < http://img291.imageshack.us/img291/4291/screenshot269mo7.gif >.
REGEDIT4
[HKEY_USERS\S-1-5-21-2866812634-333601086-4030790872-1005\Software\ASProtect]
"SystemTray Monitor"=""
"SysTraymon"=""
[HKEY_USERS\S-1-5-21-2866812634-333601086-4030790872-1005\Software\Microsoft\Search Assistant\ACMru\5603]
"000"=""
- Puis clic "fichier" > "enregistrer sous" > choisir " sur le bureau " < http://img410.imageshack.us/img410/9391/screenshot270jz2.gif >
- Dans "Nom du fichier" : taper par exemple " fix1.reg "
Dans "Type de fichier" : choisir "tous les fichiers"
Clic sur [enregistrer] < https://www.hiboox.com >
L'icône de "fix.reg" doit ressembler à cela : < https://www.hiboox.com >
Double-clic sur " fix.reg " pour l’exécuter => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ? "
Si c'est bien le cas, clique sur "oui"
REDÉMARRER LE PC APRÈS AVOIR FINI LE FIX !!
Dis-moi si le message apparaît encore. Merci
à+..
Je passe à table et je reviens plus tard
Lance ce fix.reg:
Procédure "fix.reg" :
... Pour cela : "clic-droit" de souris sur un espace libre du bureau > "Nouveau" > "Document Texte" ( vers le bas du petit menu ), et tu obtiens ceci sur le bureau :< http://img301.imageshack.us/img301/4489/screenshot268qn3.gif >.
- Ouvre-le.
Dans “Format”, veille à bien retirer la coche devant “Retour à la ligne automatique”.
Fais un retour chariot [Enter] après la dernière ligne.
•- "Copier/coller" dedans ce qui est en caractères gras ci-dessous,
( copie tout d'une traite, y compris la ligne REGEDIT4 - avec un intervalle après REGEDIT4 - )
( attention: il faut bien coller dans l'extrême coin supérieur gauche !! ) , ainsi (par exemple) : < http://img291.imageshack.us/img291/4291/screenshot269mo7.gif >.
REGEDIT4
[HKEY_USERS\S-1-5-21-2866812634-333601086-4030790872-1005\Software\ASProtect]
"SystemTray Monitor"=""
"SysTraymon"=""
[HKEY_USERS\S-1-5-21-2866812634-333601086-4030790872-1005\Software\Microsoft\Search Assistant\ACMru\5603]
"000"=""
- Puis clic "fichier" > "enregistrer sous" > choisir " sur le bureau " < http://img410.imageshack.us/img410/9391/screenshot270jz2.gif >
- Dans "Nom du fichier" : taper par exemple " fix1.reg "
Dans "Type de fichier" : choisir "tous les fichiers"
Clic sur [enregistrer] < https://www.hiboox.com >
L'icône de "fix.reg" doit ressembler à cela : < https://www.hiboox.com >
Double-clic sur " fix.reg " pour l’exécuter => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ? "
Si c'est bien le cas, clique sur "oui"
REDÉMARRER LE PC APRÈS AVOIR FINI LE FIX !!
Dis-moi si le message apparaît encore. Merci
à+..
VOILA
07/02/2008 ---- 20:45:03,76
----------------------------------
§§§§§§ [SysTraymon] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
[HKEY_USERS\S-1-5-21-2866812634-333601086-4030790872-1005\Software\ASProtect]
"SysTraymon"=""
"snap_shots_ie[1]"="C:\\Documents and Settings\\user\\Local Settings\\Temporary Internet Files\\Content.IE5\\N0IKLY07\\snap_shots_ie[1].exe"
"SysTraymon"="C:\\WINDOWS\\system32\\SysTraymon.exe"
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
Bon,
Quelque chose nous échappe.
J'ai déjà sollicité des amis sur un autre forum.
Nous avançons ensemble; mais voici la dernière question posée ( en espérant qu'un lecteur puisse émettre sa proposition ):
Note :
Ce truc "snap_shots_ie[1]"="C:\\Documents and Settings\\user\\Local Settings\\Temporary Internet Files\\Content.IE5\\N0IKLY07\\snap_shots_ie[1].exe",
ressemble comme 2 gouttes d'eau à ce cas : http://www.commentcamarche.net/forum/affich 4896691 trojan win32 bho kd trj#0
où au post # 11 ANTIVIR trouve ceci :
Citation :C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\0CY68U9U\sb_ads_1008[1].exe
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
; et pour lequel voici une référence trouvée < http://www.prevx.com/filenames/X2860140076166568032-0/SB%5FADS%5F1008%5B1%5D%2EEXE.html > ( à partir de ceci < http://www.prevx.com/filenamedays/020220081.html > ==> voir le fichier dans la liste )
Autrement dit, je me méfie comme de la peste de ces lignes contenant "snap_shots_ie[1].exe"
Je suis bloqué.
Je ne peux pas terminer ce topic seul.
Patiente, SVP
Désolé
Merci
Al.
EDIT: Applique strictement ceci, SVP:
Je constate que Avast ne te sert pas à grand-chose (sinon à t'avertir qu'il a laissé infecter ton PC !!).
1)- Télécharger ANTIVIR sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp: < https://www.avira.com/en/free-antivirus-windows >
et qui prend en compte la case Rootkit.
- En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] (cocher la case « mode expert »).
TUTORIELS :
< https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement.
- ou < http://www.malekal.com/tutorial_antivir.html >
- ou < http://www.libellules.ch/tuto_antivir.php >
2)- Désinstaller AVAST: <
https://www.avast.com/fr-fr/uninstall-utility >
3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.
- Attention :
Sers-toi du tutoriel pour installer ANTIVIR,
4)- Procédure d'utilisation:
Après l'installation du programme et avant de lancer l'analyse, ...
...il faut redémarrer le PC en mode sans échec, comme ceci:
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
Lancer Antivir en Scan complet ( analyse avancée )
Poster le rapport SVP.
L'analyse:
- Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir »
- Cliquer sur l’onglet « scanner »
- Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut)
- Une fenêtre va s’ouvrir « Luke Filewalker »
- Le scan va démarrer.
- Mettre tout ce qu il trouve en "quarantine"
Le rapport:
Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître.
Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau).
Quelque chose nous échappe.
J'ai déjà sollicité des amis sur un autre forum.
Nous avançons ensemble; mais voici la dernière question posée ( en espérant qu'un lecteur puisse émettre sa proposition ):
Note :
Ce truc "snap_shots_ie[1]"="C:\\Documents and Settings\\user\\Local Settings\\Temporary Internet Files\\Content.IE5\\N0IKLY07\\snap_shots_ie[1].exe",
ressemble comme 2 gouttes d'eau à ce cas : http://www.commentcamarche.net/forum/affich 4896691 trojan win32 bho kd trj#0
où au post # 11 ANTIVIR trouve ceci :
Citation :C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\0CY68U9U\sb_ads_1008[1].exe
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
; et pour lequel voici une référence trouvée < http://www.prevx.com/filenames/X2860140076166568032-0/SB%5FADS%5F1008%5B1%5D%2EEXE.html > ( à partir de ceci < http://www.prevx.com/filenamedays/020220081.html > ==> voir le fichier dans la liste )
Autrement dit, je me méfie comme de la peste de ces lignes contenant "snap_shots_ie[1].exe"
Je suis bloqué.
Je ne peux pas terminer ce topic seul.
Patiente, SVP
Désolé
Merci
Al.
EDIT: Applique strictement ceci, SVP:
Je constate que Avast ne te sert pas à grand-chose (sinon à t'avertir qu'il a laissé infecter ton PC !!).
1)- Télécharger ANTIVIR sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp: < https://www.avira.com/en/free-antivirus-windows >
et qui prend en compte la case Rootkit.
- En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] (cocher la case « mode expert »).
TUTORIELS :
< https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement.
- ou < http://www.malekal.com/tutorial_antivir.html >
- ou < http://www.libellules.ch/tuto_antivir.php >
2)- Désinstaller AVAST: <
https://www.avast.com/fr-fr/uninstall-utility >
3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.
- Attention :
Sers-toi du tutoriel pour installer ANTIVIR,
4)- Procédure d'utilisation:
Après l'installation du programme et avant de lancer l'analyse, ...
...il faut redémarrer le PC en mode sans échec, comme ceci:
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
Lancer Antivir en Scan complet ( analyse avancée )
Poster le rapport SVP.
L'analyse:
- Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir »
- Cliquer sur l’onglet « scanner »
- Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut)
- Une fenêtre va s’ouvrir « Luke Filewalker »
- Le scan va démarrer.
- Mettre tout ce qu il trouve en "quarantine"
Le rapport:
Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître.
Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau).
re !
tu avais vu ceci AL' ? http://www.castlecops.com/tk36099-snapbar_dll_snapbar1_dll_snapbar2_dll_snapbar3_dll.html
Tu as le lien sur le tableau pour snap.com et en bas de cette page, il y a une inscription websearch ??
En relation avec l'infection du même nom ?
@ +
tu avais vu ceci AL' ? http://www.castlecops.com/tk36099-snapbar_dll_snapbar1_dll_snapbar2_dll_snapbar3_dll.html
Tu as le lien sur le tableau pour snap.com et en bas de cette page, il y a une inscription websearch ??
En relation avec l'infection du même nom ?
@ +
Salut Joe
Oui, j'avais cela depuis longtemps.
Mais ici ....
[HKEY_USERS\S-1-5-21-2866812634-333601086-4030790872-1005\Software\ASProtect]
"snap_shots_ie[1]"="C:\\Documents and Settings\\user\\Local Settings\\Temporary Internet Files\\Content.IE5\\N0IKLY07\\snap_shots_ie[1].exe"
.... nous avons affaire avec un (apparemment) fichier exécutable qui se dénomme snap_shots_ie[1].exe contenu dans la donnée de la valeur snap_shots_ie[1]
Qui a téléchargé snap_shots dans les fichiers temporaires (qu'on efface à chaque sortie de session) ?
Il est le 23/09/2007 08:02 <REP> Snap Shots dans C:\Program Files (DiagHelp)
C'est un peu plus compliqué.
Regarde là < http://spywarefiles.prevx.com/spywarefiles.asp?fxc=difa43427793 > (34% bad)
Regarde là < http://www.siteadvisor.com/sitereport.html?url=snap.com/downloads/8238257/ >
Merci
•- RAD ZONE as-tu encore le temps de me poster le log ANTIVIR ce soir ?
à+..
Oui, j'avais cela depuis longtemps.
Mais ici ....
[HKEY_USERS\S-1-5-21-2866812634-333601086-4030790872-1005\Software\ASProtect]
"snap_shots_ie[1]"="C:\\Documents and Settings\\user\\Local Settings\\Temporary Internet Files\\Content.IE5\\N0IKLY07\\snap_shots_ie[1].exe"
.... nous avons affaire avec un (apparemment) fichier exécutable qui se dénomme snap_shots_ie[1].exe contenu dans la donnée de la valeur snap_shots_ie[1]
Qui a téléchargé snap_shots dans les fichiers temporaires (qu'on efface à chaque sortie de session) ?
Il est le 23/09/2007 08:02 <REP> Snap Shots dans C:\Program Files (DiagHelp)
C'est un peu plus compliqué.
Regarde là < http://spywarefiles.prevx.com/spywarefiles.asp?fxc=difa43427793 > (34% bad)
Regarde là < http://www.siteadvisor.com/sitereport.html?url=snap.com/downloads/8238257/ >
Merci
•- RAD ZONE as-tu encore le temps de me poster le log ANTIVIR ce soir ?
à+..
Bonsoir,
Afideg, concernant :
snap_shots_ie[1].exe
et
sb_ads_1008[1].exe
Perso je serais du même avis que jorginho67, je ne crois pas que les deux soient liés, snap_shots_ie[1].exe provient du téléchargement ce programme :
Snap Shots (mentionné dans le rapport combo et diaghelp)
http://www.snap.com/downloads/snap_shots_ie.exe
Par contre l'autre provient bien d'un malware, mais n'a apparement aucun rapport avec Win32/Rbot.OE, d'ailleur aucune trace ici des fichiers et bho qu'il est sensé installer comme dans l'exemple que tu as traité ici et qui illustre bien cette infection:
http://www.commentcamarche.net/forum/affich 4896691 trojan win32 bho kd trj#4
hxxp://adssite.biz/.../.../.../sb_ads_1008.exe
Ce serait peut-être interessant d'avoir une capture d'écran du message exact de l'outil microsoft au démarrage, parcequ'à première vue, le problème semble déjà réglé :-)
@+ et bonne continuation.
Afideg, concernant :
snap_shots_ie[1].exe
et
sb_ads_1008[1].exe
Perso je serais du même avis que jorginho67, je ne crois pas que les deux soient liés, snap_shots_ie[1].exe provient du téléchargement ce programme :
Snap Shots (mentionné dans le rapport combo et diaghelp)
http://www.snap.com/downloads/snap_shots_ie.exe
Par contre l'autre provient bien d'un malware, mais n'a apparement aucun rapport avec Win32/Rbot.OE, d'ailleur aucune trace ici des fichiers et bho qu'il est sensé installer comme dans l'exemple que tu as traité ici et qui illustre bien cette infection:
http://www.commentcamarche.net/forum/affich 4896691 trojan win32 bho kd trj#4
hxxp://adssite.biz/.../.../.../sb_ads_1008.exe
AntiVir 7.6.0.62 2008.02.04 DR/Agent.ZM.5 Fortinet 3.14.0.0 2008.02.04 Adware/Agent F-Secure 6.70.13260.0 2008.02.04 Malware.BSKH Kaspersky 7.0.0.125 2008.02.04 not-a-virus:AdWare.Win32.Agent.zm NOD32v2 2847 2008.02.04 probably a variant of Win32/Adware.Agent Norman 5.80.02 2008.02.01 Malware.BSKH Prevx1 V2 2008.02.04 Generic.Malware VBA32 3.12.6.0 2008.02.03 AdWare.Win32.Agent.zm
Ce serait peut-être interessant d'avoir une capture d'écran du message exact de l'outil microsoft au démarrage, parcequ'à première vue, le problème semble déjà réglé :-)
@+ et bonne continuation.
RAD,
Message de !aur3n7: « Le plus simple serait de faire uploader ce fichier "snap_shots_ie[1].exe", on verrait ainsi plus exactement ce qu'il fait/modifie ce qui nous rendra la tâche plus facile pour le nettoyer. Pour info http://upload.changelog.fr » .
Essaie à nouveau d'accéder à l'autre fichier fantôme "SysTraymon.exe" pour lui envoyer également.
Sur le conseil de moe, fais une capture écran du message reçu au démarrage PC.
Je vois que tu ne perds pas ton temps : < https://forums.commentcamarche.net/forum/s/m/RAD+ZONE > ;)
Et je me sens bien petit (1m.79) .
mOe,
Bonsoir et merci d'avoir jeté un œil attentionné sur ce fichier "snap_shots_ie[1].exe"
Il y avait effectivement confusion dans ma réponse à Joe; cette confusion (due à un foutu copier/coller) a été corrigée, et on ne sait donc plus y voir deux fichiers indépendants l'un de l'autre (comme tu as observés).
Tout compte fait, je n'ai réussi qu'à te faire perdre une partie de ton précieux temps. Pardon.
Bonne nuit à tous
Al.
Message de !aur3n7: « Le plus simple serait de faire uploader ce fichier "snap_shots_ie[1].exe", on verrait ainsi plus exactement ce qu'il fait/modifie ce qui nous rendra la tâche plus facile pour le nettoyer. Pour info http://upload.changelog.fr » .
Essaie à nouveau d'accéder à l'autre fichier fantôme "SysTraymon.exe" pour lui envoyer également.
Sur le conseil de moe, fais une capture écran du message reçu au démarrage PC.
Je vois que tu ne perds pas ton temps : < https://forums.commentcamarche.net/forum/s/m/RAD+ZONE > ;)
Et je me sens bien petit (1m.79) .
mOe,
Bonsoir et merci d'avoir jeté un œil attentionné sur ce fichier "snap_shots_ie[1].exe"
Il y avait effectivement confusion dans ma réponse à Joe; cette confusion (due à un foutu copier/coller) a été corrigée, et on ne sait donc plus y voir deux fichiers indépendants l'un de l'autre (comme tu as observés).
Tout compte fait, je n'ai réussi qu'à te faire perdre une partie de ton précieux temps. Pardon.
Bonne nuit à tous
Al.
Bonsoir mOe,mes Respects ... ;-) ! AL' , Re ;-)
Pardon pour cette petite intrusion.... juste pour une remarque, peut etre déplacée, d'un néophite ...
citation Al' :
nous avons affaire avec un (apparemment) fichier exécutable qui se dénomme snap_shots_ie[1].exe contenu dans la donnée de la valeur snap_shots_ie[1]
citation mOe :
snap_shots_ie[1].exe provient du téléchargement ce programme :
Snap Shots (mentionné dans le rapport combo et diaghelp)
Revenant à snap_shots_ie[1].exe,
je viens de tomber sur ceci qui est bien un executable d'une application pour IE et Firefox : Size: snap_shots_ie.exe 0.14 MB
et l'application complete (il me semble )...
Concernant le petit [1], je vais surement dire une betise, mais ne serait-ce pas tout simplement le signe d'une MàJ de la version ci dessus vers cette version actuelle https://www.snap.com/en-US/ ?
En attendant le dénouement de ce topic avec interet,
Cordialement
Jo.
Pardon pour cette petite intrusion.... juste pour une remarque, peut etre déplacée, d'un néophite ...
citation Al' :
nous avons affaire avec un (apparemment) fichier exécutable qui se dénomme snap_shots_ie[1].exe contenu dans la donnée de la valeur snap_shots_ie[1]
citation mOe :
snap_shots_ie[1].exe provient du téléchargement ce programme :
Snap Shots (mentionné dans le rapport combo et diaghelp)
Revenant à snap_shots_ie[1].exe,
je viens de tomber sur ceci qui est bien un executable d'une application pour IE et Firefox : Size: snap_shots_ie.exe 0.14 MB
et l'application complete (il me semble )...
Concernant le petit [1], je vais surement dire une betise, mais ne serait-ce pas tout simplement le signe d'une MàJ de la version ci dessus vers cette version actuelle https://www.snap.com/en-US/ ?
En attendant le dénouement de ce topic avec interet,
Cordialement
Jo.
SALUT
A TOUS ET MERCI DE VOTRE AIDE
le log antivir ( + de 3 heures de scan !)
mais au reboot le message est toujours la :-))
ca me rapelle une veille histoire de Robert Lamoureux ( pour les vieux comme moi )
"Papa ,Maman ,La bonne et Moi "
"Et le Dimanche Le Canard etait toujours Vivant!! "
looool
bon je vais essaye la suite ;-))
et je vous dis
mais je vois que mon cas intrigue ! ;-)
A+
A TOUS ET MERCI DE VOTRE AIDE
le log antivir ( + de 3 heures de scan !)
AntiVir PersonalEdition Classic
Report file date: jeudi 7 février 2008 22:55
Scanning for 1095787 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: user
Computer name: YOUR-6FBB7B0EF0
Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 21:40:39
ANTIVIR2.VDF : 7.0.2.49 1339904 Bytes 25/01/2008 21:40:39
ANTIVIR3.VDF : 7.0.2.107 350208 Bytes 07/02/2008 21:40:39
AVEWIN32.DLL : 7.6.0.62 3240448 Bytes 07/02/2008 21:40:40
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 07/02/2008 21:40:41
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21
Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: jeudi 7 février 2008 22:55
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
14 processes with 14 modules were scanned
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '75' files ).
Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Program Files\Panda Security\NanoScan\Engine\psnflg.dll
[DETECTION] Is the Trojan horse TR/Agent.bux.1
[INFO] The file was moved to '4819a25e.qua'!
C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP8\A0005351.exe
[DETECTION] Is the Trojan horse TR/Agent.648193
[INFO] The file was moved to '47dba687.qua'!
C:\System Volume Information\_restore{626D9BD5-11D8-49A1-B657-D272D1F6275E}\RP8\A0005352.dll
[DETECTION] Is the Trojan horse TR/Agent.bux.1
[INFO] The file was moved to '47dba68b.qua'!
Begin scan in 'D:\'
Search path D:\ could not be opened!
Le périphérique n'est pas prêt.
End of the scan: vendredi 8 février 2008 02:12
Used time: 3:17:42 min
The scan has been done completely.
18390 Scanning directories
660089 Files were scanned
3 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
3 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
660076 Files not concerned
18336 Archives were scanned
1 Warnings
2 Notes
mais au reboot le message est toujours la :-))
ca me rapelle une veille histoire de Robert Lamoureux ( pour les vieux comme moi )
"Papa ,Maman ,La bonne et Moi "
"Et le Dimanche Le Canard etait toujours Vivant!! "
looool
bon je vais essaye la suite ;-))
et je vous dis
mais je vois que mon cas intrigue ! ;-)
A+
re !
mais je vois que mon cas intrigue il y a de quoi non ?
3 viruses and/or unwanted programs were found
3 files were moved to quarantine
citation de mOe :
Ce serait peut-être interessant d'avoir une capture d'écran du message exact de l'outil microsoft au démarrage, parcequ'à première vue, le problème semble déjà réglé :-)
c'est clair, je crois qu'on aimerait trop voir à quoi ça ressemble ...
@+
mais je vois que mon cas intrigue il y a de quoi non ?
3 viruses and/or unwanted programs were found
3 files were moved to quarantine
citation de mOe :
Ce serait peut-être interessant d'avoir une capture d'écran du message exact de l'outil microsoft au démarrage, parcequ'à première vue, le problème semble déjà réglé :-)
c'est clair, je crois qu'on aimerait trop voir à quoi ça ressemble ...
@+
bon je cole le lien pour les vue de l outil au demarage
image 1,2 ET 3
http://rad2.free.fr/ccm/log/
pour ce qui est de snapshot ie[1] je ne le trouve pas ??
mais je suis naze il est 3H40 du mat
a demain
RAD
image 1,2 ET 3
http://rad2.free.fr/ccm/log/
pour ce qui est de snapshot ie[1] je ne le trouve pas ??
mais je suis naze il est 3H40 du mat
a demain
RAD
Bonjour TLM,
Bon, pas très résolvant tout ça.
ANTIVIR, garde-le aux lieu & place de Avast.
Il n'a trouvé qu'un simple faux-positif chez Panda ==> http://www.dellcommunity.com/supportforums/board/message?board.id=si_virus&thread.id=63823 « TR/Agent.bux.1 is indeed a false positive detection by AntiVir of a file generated by the Panda Nanoscan online scanner: C:\Program Files\Panda Security\NanoScan\Engine\psnflg.dll You can safely ignore it.
If you delete or quarantine it, I imagine Nanoscan will stop working. »
La suite de captures écran relatives à ce foutu message ne nous apprend rien (ce n'est que mon avis) --> je l'envoie à !aur3n7
C'est tout de même surprenant que tu ne puisses pas accéder, ni à "snap_shots_ie[1].exe", ni à l'autre fichier fantôme "SysTraymon.exe" afin de les "uploader" chez !aur3n7.
Pourrais-tu nous commenter (et remettre de l'ordre dans) nos observations relatives à :
1°- Qui a placé "snap_shots_ie[1].exe"dans les fichiers temporaires (qu'on efface -généralement périodiquement- à chaque sortie de session) ? Il est présent depuis le 23/09/2007 08:02 <REP> Snap Shots dans C:\Program Files (DiagHelp) .
2°- Par jorginho67 ==> Revenant à snap_shots_ie[1].exe, je viens de tomber sur ceci < http://www.download25.com/snap-shots-add-on-for-ie-and-firefox-download.html > (Snap Shots Add-On (for IE and Firefox) 1.1.0.70) qui est bien un executable d'une application pour IE et Firefox : Size: snap_shots_ie.exe 0.14 MB .
Je ne connais même pas la différence entre le logiciel Snap Shots dans C:\Program Files (DiagHelp) , et le complément Snap Shots Add-On (for IE and Firefox) 1.1.0.70.
Je sais cependant que ComboFix ouvre une section Snap-Shots dans ses rapports ==> mais personne n'a jamais pu répondre à mes questions à ce sujet.
Toi seul est en mesure de nous dire ce que tu as installé sur ce PC.
Tout cela nous détourne de l'objet de ce topic.
Si nous ne pouvons te supprimer ce message, j'entrevois deux solutions:
1°- Tu supprimes MRT
2°- Tu lances la commande SFC /SCANNOW
Bonne journée
Al.
Bon, pas très résolvant tout ça.
ANTIVIR, garde-le aux lieu & place de Avast.
Il n'a trouvé qu'un simple faux-positif chez Panda ==> http://www.dellcommunity.com/supportforums/board/message?board.id=si_virus&thread.id=63823 « TR/Agent.bux.1 is indeed a false positive detection by AntiVir of a file generated by the Panda Nanoscan online scanner: C:\Program Files\Panda Security\NanoScan\Engine\psnflg.dll You can safely ignore it.
If you delete or quarantine it, I imagine Nanoscan will stop working. »
La suite de captures écran relatives à ce foutu message ne nous apprend rien (ce n'est que mon avis) --> je l'envoie à !aur3n7
C'est tout de même surprenant que tu ne puisses pas accéder, ni à "snap_shots_ie[1].exe", ni à l'autre fichier fantôme "SysTraymon.exe" afin de les "uploader" chez !aur3n7.
Pourrais-tu nous commenter (et remettre de l'ordre dans) nos observations relatives à :
1°- Qui a placé "snap_shots_ie[1].exe"dans les fichiers temporaires (qu'on efface -généralement périodiquement- à chaque sortie de session) ? Il est présent depuis le 23/09/2007 08:02 <REP> Snap Shots dans C:\Program Files (DiagHelp) .
2°- Par jorginho67 ==> Revenant à snap_shots_ie[1].exe, je viens de tomber sur ceci < http://www.download25.com/snap-shots-add-on-for-ie-and-firefox-download.html > (Snap Shots Add-On (for IE and Firefox) 1.1.0.70) qui est bien un executable d'une application pour IE et Firefox : Size: snap_shots_ie.exe 0.14 MB .
Je ne connais même pas la différence entre le logiciel Snap Shots dans C:\Program Files (DiagHelp) , et le complément Snap Shots Add-On (for IE and Firefox) 1.1.0.70.
Je sais cependant que ComboFix ouvre une section Snap-Shots dans ses rapports ==> mais personne n'a jamais pu répondre à mes questions à ce sujet.
Toi seul est en mesure de nous dire ce que tu as installé sur ce PC.
Tout cela nous détourne de l'objet de ce topic.
Si nous ne pouvons te supprimer ce message, j'entrevois deux solutions:
1°- Tu supprimes MRT
2°- Tu lances la commande SFC /SCANNOW
Bonne journée
Al.
SALUT
Qui as instale snap_shots_ie[1].exe ?? pour moi seul une maj de snap shot !!
mais ce qui est sur ce n est pas moi enfin a part le fait que si il y as eu maj j ai clique oui ;-))
j ai beau chercher partout je ne les trouvent pas ??
j ai desinstaler snapshot et sa bare d outil , mais rien ni fais
j ai relance OAD
et nap_shots_ie[1].exe est toujours la , mais impossible de le trouver dans le dossier
C:\\Documents and Settings\\user\\Local Settings\\Temporary Internet Files\\Content.IE5\\N0IKLY07\\snap_shots_ie[1].exe"
je ne trouve d ailleur pas non plus \\N0IKLY07\\
RAD
Qui as instale snap_shots_ie[1].exe ?? pour moi seul une maj de snap shot !!
mais ce qui est sur ce n est pas moi enfin a part le fait que si il y as eu maj j ai clique oui ;-))
j ai beau chercher partout je ne les trouvent pas ??
j ai desinstaler snapshot et sa bare d outil , mais rien ni fais
j ai relance OAD
et nap_shots_ie[1].exe est toujours la , mais impossible de le trouver dans le dossier
C:\\Documents and Settings\\user\\Local Settings\\Temporary Internet Files\\Content.IE5\\N0IKLY07\\snap_shots_ie[1].exe"
je ne trouve d ailleur pas non plus \\N0IKLY07\\
RAD
RAD,
Est-ce toi qui a installé Snap Shots dans ton PC ?
Il est présent depuis le 23/09/2007 08:02 <REP> Snap Shots dans C:\Program Files
Aurais-tu également installé Snap Shots Add-On (for IE and Firefox) 1.1.0.70) dans ton PC ?
Fais ensuite un ScanOnline chez Bitdefender :
< http://www.bitdefender.fr/bd/site/page.php > ou < https://www.bitdefender.fr/ >
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
Accepter et installer le contrôle des ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.
(sauvegarder le rapport au format TEXTE svp. merci)
Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.
Aide MALEKAL_morte < https://www.malekal.com/scan-antivirus-ligne-nod32/ >
Tuto Morgane < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm >
Merci
Al.
Est-ce toi qui a installé Snap Shots dans ton PC ?
Il est présent depuis le 23/09/2007 08:02 <REP> Snap Shots dans C:\Program Files
Aurais-tu également installé Snap Shots Add-On (for IE and Firefox) 1.1.0.70) dans ton PC ?
Fais ensuite un ScanOnline chez Bitdefender :
< http://www.bitdefender.fr/bd/site/page.php > ou < https://www.bitdefender.fr/ >
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
Accepter et installer le contrôle des ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.
(sauvegarder le rapport au format TEXTE svp. merci)
Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.
Aide MALEKAL_morte < https://www.malekal.com/scan-antivirus-ligne-nod32/ >
Tuto Morgane < http://pageperso.aol.fr/loraline60/bitdefender_scan.htm >
Merci
Al.
