Backdoor:Win32/Rbot.OE
Résolu
RAD ZONE
Messages postés
5362
Statut
Contributeur
-
Kalhed -
Kalhed -
Bonjour,
l outil de supression des malwares microsoft me signifie la supression de ce trojan a chaque demarage !
j ai fais scan antivirus et le nettoyage : spybot , adaware , avg , vide tout les temps et cache et redemare !
toujours la !!!
donc n etant pas un specialiste desinfection je vous poste le log hijack
et vous remercie des aides que vous m apporterez
RAD
l outil de supression des malwares microsoft me signifie la supression de ce trojan a chaque demarage !
j ai fais scan antivirus et le nettoyage : spybot , adaware , avg , vide tout les temps et cache et redemare !
toujours la !!!
donc n etant pas un specialiste desinfection je vous poste le log hijack
et vous remercie des aides que vous m apporterez
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:09:43, on 26/01/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\Sygate\SPF\smc.exe C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\eHome\ehmsas.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Synaptics\SynTP\Toshiba.exe C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\Program Files\Startup Faster\sfAgent.exe C:\WINDOWS\system32\TPSMain.exe C:\WINDOWS\system32\TPSBattM.exe C:\Program Files\TOSHIBA\Tvs\TvsTray.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cm.fr.my.yahoo.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://cm.fr.my.yahoo.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Snap Shots - {BB81C3DB-2DEA-4AE9-96B3-13E6661FF03B} - C:\Program Files\Snap Shots\snapbar1.dll O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\msntb.dll O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Program Files\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\msntb.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll O3 - Toolbar: Snap Shots - {8CD8EA48-D284-477E-B6DF-85D1E39D855F} - C:\Program Files\Snap Shots\snapbar1.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [StartupFaster] "C:\Program Files\Startup Faster\startuploader.exe" -run SFAURUN SFCURUN SFAUSTARTUP SFCUSTARTUP O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: StartupFaster O4 - Global Startup: StartupFaster O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\msntb.dll/search.htm O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm O8 - Extra context menu item: Html To Image - C:\Program Files\Html To Image\menu.htm O8 - Extra context menu item: Open using &Advanced JPEG Compressor - C:\Program Files\Advanced JPEG Compressor\ajcieex.htm O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Program Files\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 11528 bytes
RAD
A voir également:
- Backdoor:Win32/Rbot.OE
- Backdoor - Télécharger - Antivirus & Antimalwares
- Lenovo backdoor - Guide
94 réponses
SALUT
OUI c est moi qui avais instale les 2 , un client voulais la fonction snapshot sur son site , et pour controler et le mettre en place je les ai instale!
bon je vais faire le scan A+
RAD
OUI c est moi qui avais instale les 2 , un client voulais la fonction snapshot sur son site , et pour controler et le mettre en place je les ai instale!
bon je vais faire le scan A+
RAD
Salut à tous
RAD ZONE,
Pour les vues de l'outil MRT au demarrage:
L'outil Microsoft propose lorsqu'on le lance 3 types d'analyses possibles :
rapide, complète ou personnalisée
Si tu as choisis au départ une analyse rapide et que la suppression de Rbot.OE s'est faite à ce moment là, les popups de l'outil au démarrage sont là pour te rappeler qu'une infection à été supprimé et surement te proposer un scan complet avec l'outil ou un av.
C'est le cas ?
Essaye de faire ce petit test, relance l'outil microsoft et cette fois choisis l'analyse complète.
Normalement il ne devrait plus rien te détecter en fin de scan.
Redemarre ensuite le pc et dis nous si tu as encore le même message.
Quoi qu'il en soit ça ressemble juste à un popup d'information concernant une infection déjà supprimé et de mémoire il me semble que cet outil n'a pas de fonction qui lui permette de scanner le pc automatiquement au démarrage, donc je vois mal comment il pourrait de lui même détecter quelque chose sans qu'on ne lui ait rien demandé :-)
Pour ma part je ne crois pas que tu réussiras à retrouver SysTraymon.exe, car déjà supprimé par l'outil microsoft, mais ça n'engage que moi :-)
Quant à snap_shots_ie[1].exe :
Ouvre un dossier, n'importe lequel ça n'a pas d'importance.
Dans la barre d'adresse copie et colle ceci :
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5
Valide avec Entrée.
Ca aura pour effet d'ouvrir et te positionner dans le dossier Content.IE5 qui lui contient le dossier N0IKLY07.
A l'intérieur de ce dossier N0IKLY07 tu devrais facilement retrouver snap_shots_ie[1].exe pour pouvoir l'uploader.
@+ et bonne continuation
ps:
Concernant le petit [1], je vais surement dire une betise, mais ne serait-ce pas tout simplement le signe d'une MàJ
Salut jorginho67, possible que tu ais raison et que ce soit relatif à une maj ou bien que ce soit le fichier installeur lui même .
Je m'explique lol, le petit [1] après le nom du fichier signifie que ce fichier à été téléchargé/enregistré/exécuté directement à partir du dossier Temporary Internet Files, fais le test toi même en allant jeter un oeil du côté du contenu du dossier Content.IE5 et tu verras que pratiquement tous les fichiers internet temporaires ont ce petit signe distinctif juste avant l'extension :-)
Donc au final, mis à part une concordance entre les date de création de ce fichier et du dossier c:\Program files\Snap Shots difficile de dire s'il provient exactement de l'installation ou d'une mise à jour.
Mais bon, à la base ce prog est clean... :-)
RAD ZONE,
Pour les vues de l'outil MRT au demarrage:
L'outil Microsoft propose lorsqu'on le lance 3 types d'analyses possibles :
rapide, complète ou personnalisée
Si tu as choisis au départ une analyse rapide et que la suppression de Rbot.OE s'est faite à ce moment là, les popups de l'outil au démarrage sont là pour te rappeler qu'une infection à été supprimé et surement te proposer un scan complet avec l'outil ou un av.
C'est le cas ?
Essaye de faire ce petit test, relance l'outil microsoft et cette fois choisis l'analyse complète.
Normalement il ne devrait plus rien te détecter en fin de scan.
Redemarre ensuite le pc et dis nous si tu as encore le même message.
Quoi qu'il en soit ça ressemble juste à un popup d'information concernant une infection déjà supprimé et de mémoire il me semble que cet outil n'a pas de fonction qui lui permette de scanner le pc automatiquement au démarrage, donc je vois mal comment il pourrait de lui même détecter quelque chose sans qu'on ne lui ait rien demandé :-)
Pour ma part je ne crois pas que tu réussiras à retrouver SysTraymon.exe, car déjà supprimé par l'outil microsoft, mais ça n'engage que moi :-)
Quant à snap_shots_ie[1].exe :
Ouvre un dossier, n'importe lequel ça n'a pas d'importance.
Dans la barre d'adresse copie et colle ceci :
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5
Valide avec Entrée.
Ca aura pour effet d'ouvrir et te positionner dans le dossier Content.IE5 qui lui contient le dossier N0IKLY07.
A l'intérieur de ce dossier N0IKLY07 tu devrais facilement retrouver snap_shots_ie[1].exe pour pouvoir l'uploader.
@+ et bonne continuation
ps:
Concernant le petit [1], je vais surement dire une betise, mais ne serait-ce pas tout simplement le signe d'une MàJ
Salut jorginho67, possible que tu ais raison et que ce soit relatif à une maj ou bien que ce soit le fichier installeur lui même .
Je m'explique lol, le petit [1] après le nom du fichier signifie que ce fichier à été téléchargé/enregistré/exécuté directement à partir du dossier Temporary Internet Files, fais le test toi même en allant jeter un oeil du côté du contenu du dossier Content.IE5 et tu verras que pratiquement tous les fichiers internet temporaires ont ce petit signe distinctif juste avant l'extension :-)
Donc au final, mis à part une concordance entre les date de création de ce fichier et du dossier c:\Program files\Snap Shots difficile de dire s'il provient exactement de l'installation ou d'une mise à jour.
Mais bon, à la base ce prog est clean... :-)
???? impossible de scane avec bit defender ???
Apres l acceptation de l active x , il as voulu remplacer quelque chose du dernier scan online qu il avait fais
et depuis il bug ??
RAD
Apres l acceptation de l active x , il as voulu remplacer quelque chose du dernier scan online qu il avait fais
et depuis il bug ??
RAD
SALUT
MERCI MOE
je suis en train de faire tourner MRT
Quant à snap_shots_ie[1].exe :
Ouvre un dossier, n'importe lequel ça n'a pas d'importance.
Dans la barre d'adresse copie et colle ceci :
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5
Valide avec Entrée.
c est bien de cette maniere que je l ai cherche ! mais je ne trouve aucun dossier N0IKLY07
donc evidement pas de snapshot ie ??
DOSSIER IE5
RAD
MERCI MOE
je suis en train de faire tourner MRT
Quant à snap_shots_ie[1].exe :
Ouvre un dossier, n'importe lequel ça n'a pas d'importance.
Dans la barre d'adresse copie et colle ceci :
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5
Valide avec Entrée.
c est bien de cette maniere que je l ai cherche ! mais je ne trouve aucun dossier N0IKLY07
donc evidement pas de snapshot ie ??
DOSSIER IE5
RAD
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
BON VOILA
effectivement comme tu le presentais Moe , le MRT n a rien trouve !!!
donc si je comprend bien , je vous prend la tete depuis une semaine pour un probleme regle
depuis pres d un mois ??????
BRAVO Microdaube !!!!!!!!!!!!!!!!
franchement quel est l interet de prevenir d une desinfection effectue depuis 1 mois ?
heureusement que les firewall ou antivirus "normeaux" ne font pas de meme ;-)))
enfin j attend quand meme vos confirmations pour savoir si c est regle? ! et si je desactive cette M@ù$DE de MRT !
MERCI ENCORE MILLE FOIS DE VOTRE PATIENCE ET AIDE
ps: a voir pour le probleme snapshot ie si je dois fare quelque chose ou si on peu laisse glisser ? car vraiment je ne les trouve pas ???
A+
RAD
effectivement comme tu le presentais Moe , le MRT n a rien trouve !!!
donc si je comprend bien , je vous prend la tete depuis une semaine pour un probleme regle
depuis pres d un mois ??????
BRAVO Microdaube !!!!!!!!!!!!!!!!
franchement quel est l interet de prevenir d une desinfection effectue depuis 1 mois ?
heureusement que les firewall ou antivirus "normeaux" ne font pas de meme ;-)))
enfin j attend quand meme vos confirmations pour savoir si c est regle? ! et si je desactive cette M@ù$DE de MRT !
MERCI ENCORE MILLE FOIS DE VOTRE PATIENCE ET AIDE
ps: a voir pour le probleme snapshot ie si je dois fare quelque chose ou si on peu laisse glisser ? car vraiment je ne les trouve pas ???
A+
RAD
RAD
Je pense qu'il serait bon de connaître l'avis de ces gens .
Personnellement, je répondrais à cette "invitation" : « mais j ai un message me demandant d envoyer un message au webmaster de bitdefender onlinescan ?? que le probleme vient d eux ???? »
Il en va de la confiance accordée des milliers de fois par jour à cet outil. (à ajouter à ta demande).
Al.
Je pense qu'il serait bon de connaître l'avis de ces gens .
Personnellement, je répondrais à cette "invitation" : « mais j ai un message me demandant d envoyer un message au webmaster de bitdefender onlinescan ?? que le probleme vient d eux ???? »
Il en va de la confiance accordée des milliers de fois par jour à cet outil. (à ajouter à ta demande).
Al.
Ai
je referais une tentative de scan demain matin au reveil :-))
si j ai toujours le probleme j enverais un mail au webmaster de bitdefender
toujour en attente d avis pour mon probleme !
A+
RAD
je referais une tentative de scan demain matin au reveil :-))
si j ai toujours le probleme j enverais un mail au webmaster de bitdefender
toujour en attente d avis pour mon probleme !
A+
RAD
Salut
Si tu veux mon avis le fichier snap_shots_ie[1].exe, n'existe plus depuis belle lurette, n'en persiste qu'une trace au niveau du registre.
Pas plus que Win32/Rbot.OE, déjà supprimé par l'outil Microsoft.
Maintenant ce n'est que mon avis et déductions perso au vu des éléments que tu as fournis RAD ZONE et qui me semble pour ma part confirmer cette hypothèse.
Afideg, je te sens un peu dubitatif ?, non ?
Ce ne sont que mes propres déductions et donc pas forcément à prendre pour argent comptant :-)
Si tu as d'autres pistes à creuser ou vérifier, fonce :-)
@++ et bonne continuation.
Si tu veux mon avis le fichier snap_shots_ie[1].exe, n'existe plus depuis belle lurette, n'en persiste qu'une trace au niveau du registre.
Pas plus que Win32/Rbot.OE, déjà supprimé par l'outil Microsoft.
Maintenant ce n'est que mon avis et déductions perso au vu des éléments que tu as fournis RAD ZONE et qui me semble pour ma part confirmer cette hypothèse.
Afideg, je te sens un peu dubitatif ?, non ?
Ce ne sont que mes propres déductions et donc pas forcément à prendre pour argent comptant :-)
Si tu as d'autres pistes à creuser ou vérifier, fonce :-)
@++ et bonne continuation.
SALUT
Moe et tout les autres !
merci , c est bien ce que je commencais a penser !! ces infections semblent etre nettoye mais le MRT
continu a envoyer le message !
je vais desactiver MRT
je laisse ce post non resolus ! si quelqu un as une idee ou peut confirmer l opinion de Moe (qui est aussi la mienne ) !!
je remercie encore tout ceux qui mon aide sur ce forum ( afideg,Moe, jorginho67, ect) ,et sur d autre forum , qui ce sont penche sur mon probleme
et mon apporte des solutions ,
je suis le post et attend d eventuels idees , ou la confirmation definitive de la resolution :_))
si l un d entre vous a un jour un probleme de creation site web , je serais ravis de vous apporter mon aide ( si je peux (-: !) sur le forum Webmastering
A+
RAD
Moe et tout les autres !
merci , c est bien ce que je commencais a penser !! ces infections semblent etre nettoye mais le MRT
continu a envoyer le message !
je vais desactiver MRT
je laisse ce post non resolus ! si quelqu un as une idee ou peut confirmer l opinion de Moe (qui est aussi la mienne ) !!
je remercie encore tout ceux qui mon aide sur ce forum ( afideg,Moe, jorginho67, ect) ,et sur d autre forum , qui ce sont penche sur mon probleme
et mon apporte des solutions ,
je suis le post et attend d eventuels idees , ou la confirmation definitive de la resolution :_))
si l un d entre vous a un jour un probleme de creation site web , je serais ravis de vous apporter mon aide ( si je peux (-: !) sur le forum Webmastering
A+
RAD
Bonjour TLM
Salut mOe,
Récapitulatif me concernant:
Post # 22 (ma première intervention): « C'est quoi ces trucs :
O2 - BHO: Snap Shots - {BB81C3DB-2DEA-4AE9-96B3-13E6661FF03B} - C:\Program Files\Snap Shots\snapbar1.dll
O3 - Toolbar: Snap Shots - {8CD8EA48-D284-477E-B6DF-85D1E39D855F} - C:\Program Files\Snap Shots\snapbar1.dll »
Post # 41 (ma seconde intervention): « RAD ZONE, y a-t-il un dossier de sauvegarde dans ce "foutu" outil de supression des malwares microsoft ===> L'outil crée un fichier journal nommé mrt.log. Ce fichier est placé dans le dossier %WINDIR%\debug ( C:\WINDOWS\ ). »
Post # 42 (réponse de RAD ZONE): « Quick Scan Results: ----------------
Found virus: Backdoor:Win32/Rbot.OE in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor
Found virus: Backdoor:Win32/Rbot.OE in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor
Found virus: Backdoor:Win32/Rbot.OE in file://C:\WINDOWS\system32\SysTraymon.exe
Quick Scan Removal Results ----------------
Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor Operation succeeded !
Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor Operation succeeded !
Start 'remove' for file://\\?\C:\WINDOWS\system32\SysTraymon.exe Operation succeeded !
Results Summary: ---------------- Found Backdoor:Win32/Rbot.OE and Removed!
Post # 45: « Je ne comprends pas qu'on puisse en arriver là avec de tels outils:
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
Post # 54: « A)- Je ne sais pas résoudre cette question; sauf à désactiver ce Microsoft Windows Malicious Software Removal Tool v1.37 qui fiche tout ce qui ne lui plaît pas »
Post # 57: « Tiens, un peu de lecture pour ce "Microsoft Windows Malicious Software Removal Tool " ("MRT" si je ne me trompe pas): < https://infomars.fr/forum/index.php?showtopic=1244 > »
Post # 59: « Toutefois, même si je hais "Microsoft Windows Malicious Software Removal Tool", il semble avoir supprimé SysTraymon.exe. Une vérification s'impose pour savoir si ce (SysTraymon.exe) qui provoque le réveil de MRT n'est pas dans le PC. »
Post # 80, j'en dis un peu plus sur "snap_shots_ie[1].exe"; et j'avais noté au post # 70 une similitude d'emplacement avec Content.IE5\0CY68U9U\sb_ads_1008[1].exe [DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
Donc, j'ai poursuivi pour en connaître davantage.
Je m'étais déjà fait une idée sur le rôle de MRT.
Ces formes proposées par Snap Shots, et par snap_shots_ie.exe 0.14 MB; et les questions restées en suspens sur la section (((( snapshot@2008-01-03_14.26.46.14 ))))))) de Combofix, m'intéressent particulièrement.
Je suis entièrement de ton avis (je ne suis nullement dubitatif); et j'ajouterai même qu'il faut supprimer MRT et vider C:\\Documents and Settings\\user\\Local Settings\\Temporary Internet Files.
Content d'avoir pu suivre tes raisonnements qui m'en ont beaucoup appris.
Merci à RAD ZONE de nous avoir proposé cette recherche.
Bon W-E
Albert
Salut mOe,
Récapitulatif me concernant:
Post # 22 (ma première intervention): « C'est quoi ces trucs :
O2 - BHO: Snap Shots - {BB81C3DB-2DEA-4AE9-96B3-13E6661FF03B} - C:\Program Files\Snap Shots\snapbar1.dll
O3 - Toolbar: Snap Shots - {8CD8EA48-D284-477E-B6DF-85D1E39D855F} - C:\Program Files\Snap Shots\snapbar1.dll »
Post # 41 (ma seconde intervention): « RAD ZONE, y a-t-il un dossier de sauvegarde dans ce "foutu" outil de supression des malwares microsoft ===> L'outil crée un fichier journal nommé mrt.log. Ce fichier est placé dans le dossier %WINDIR%\debug ( C:\WINDOWS\ ). »
Post # 42 (réponse de RAD ZONE): « Quick Scan Results: ----------------
Found virus: Backdoor:Win32/Rbot.OE in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor
Found virus: Backdoor:Win32/Rbot.OE in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor
Found virus: Backdoor:Win32/Rbot.OE in file://C:\WINDOWS\system32\SysTraymon.exe
Quick Scan Removal Results ----------------
Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor Operation succeeded !
Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES\\SystemTray Monitor Operation succeeded !
Start 'remove' for file://\\?\C:\WINDOWS\system32\SysTraymon.exe Operation succeeded !
Results Summary: ---------------- Found Backdoor:Win32/Rbot.OE and Removed!
Post # 45: « Je ne comprends pas qu'on puisse en arriver là avec de tels outils:
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
Post # 54: « A)- Je ne sais pas résoudre cette question; sauf à désactiver ce Microsoft Windows Malicious Software Removal Tool v1.37 qui fiche tout ce qui ne lui plaît pas »
Post # 57: « Tiens, un peu de lecture pour ce "Microsoft Windows Malicious Software Removal Tool " ("MRT" si je ne me trompe pas): < https://infomars.fr/forum/index.php?showtopic=1244 > »
Post # 59: « Toutefois, même si je hais "Microsoft Windows Malicious Software Removal Tool", il semble avoir supprimé SysTraymon.exe. Une vérification s'impose pour savoir si ce (SysTraymon.exe) qui provoque le réveil de MRT n'est pas dans le PC. »
Post # 80, j'en dis un peu plus sur "snap_shots_ie[1].exe"; et j'avais noté au post # 70 une similitude d'emplacement avec Content.IE5\0CY68U9U\sb_ads_1008[1].exe [DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
Donc, j'ai poursuivi pour en connaître davantage.
Je m'étais déjà fait une idée sur le rôle de MRT.
Ces formes proposées par Snap Shots, et par snap_shots_ie.exe 0.14 MB; et les questions restées en suspens sur la section (((( snapshot@2008-01-03_14.26.46.14 ))))))) de Combofix, m'intéressent particulièrement.
Je suis entièrement de ton avis (je ne suis nullement dubitatif); et j'ajouterai même qu'il faut supprimer MRT et vider C:\\Documents and Settings\\user\\Local Settings\\Temporary Internet Files.
Content d'avoir pu suivre tes raisonnements qui m'en ont beaucoup appris.
Merci à RAD ZONE de nous avoir proposé cette recherche.
Bon W-E
Albert
Euh
Cit. « je remercie encore tout ceux qui mon aide sur ce forum ,et sur d autre forum , qui ce sont penche sur mon probleme et mon apporte des solutions »
RAD, as-tu des liens de ces autres forums consultés SVP, afin d'étudier ces autres analyses ?
Merci d'avance
Al.
Cit. « je remercie encore tout ceux qui mon aide sur ce forum ,et sur d autre forum , qui ce sont penche sur mon probleme et mon apporte des solutions »
RAD, as-tu des liens de ces autres forums consultés SVP, afin d'étudier ces autres analyses ?
Merci d'avance
Al.
Non je n ai poste qu ici
mais je remerciais les personnes que certain d entre vous on consulte a droite et a gauche !! ;-))
RAD
mais je remerciais les personnes que certain d entre vous on consulte a droite et a gauche !! ;-))
RAD
