Trojan win32:bho-kd [trj]
Fermé
TAT
-
3 févr. 2008 à 21:16
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 7 févr. 2008 à 22:55
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 7 févr. 2008 à 22:55
A voir également:
- Trojan win32:bho-kd [trj]
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan al11 ✓ - Forum Virus
- Puabundler win32 - Forum Virus
- Trojan wacatac ✓ - Forum Virus
- Puadimanager win32 ✓ - Forum Virus
14 réponses
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
3 févr. 2008 à 22:14
3 févr. 2008 à 22:14
slt,
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".
O2 - BHO: Adssite Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\adssite_sidebar.dll (file missing)
O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll
O2 - BHO: (no name) - {731778C6-1A25-439D-8FB0-4F00BE3F5AF6} - C:\WINDOWS\system32\dispe.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
____________________
télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
Citation :
C:\WINDOWS\system32\iebrowserc.dll
C:\WINDOWS\system32\dispe.dll
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
________________________
mets a jour internet explorer:
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html
________________________
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
______________________
recolle hijakthis et dis tes soucis
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".
O2 - BHO: Adssite Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\adssite_sidebar.dll (file missing)
O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll
O2 - BHO: (no name) - {731778C6-1A25-439D-8FB0-4F00BE3F5AF6} - C:\WINDOWS\system32\dispe.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
____________________
télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
Citation :
C:\WINDOWS\system32\iebrowserc.dll
C:\WINDOWS\system32\dispe.dll
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
________________________
mets a jour internet explorer:
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html
________________________
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
______________________
recolle hijakthis et dis tes soucis
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
3 févr. 2008 à 22:34
3 févr. 2008 à 22:34
Up
Télécharger _OTMoveIt ici http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
salut jlpjlp ==> MP
Al.
Télécharger _OTMoveIt ici http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
salut jlpjlp ==> MP
Al.
Re,
mon antivirus a déctété un ver/virus pendant le telechargement de Pandasoftware. Et Pour le précedent, il y a un conflit de logiciel Pack 2. Je n'y comprend rien.
Merci de m'aider.
tat
mon antivirus a déctété un ver/virus pendant le telechargement de Pandasoftware. Et Pour le précedent, il y a un conflit de logiciel Pack 2. Je n'y comprend rien.
Merci de m'aider.
tat
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
4 févr. 2008 à 00:17
4 févr. 2008 à 00:17
Bonsoir
jlpjlp a dû s'absenter ==> boulot.
Accepte de suivre strictement cette procédure SVP:
1)-Télécharge The Avenger par Swandog46 sur le Bureau avec ce lien: < http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ >
Click sur Avenger.zip pour ouvrir le fichier; en extraire "avenger.exe" sur votre bureau
2)- Sélectionner ( mettre en surbrillance ) TOUT le texte en gras ci-dessous, et appuyer simultanément sur les touches (Ctrl+C):
Files to delete:
C:\WINDOWS\system32\adssite-remove.exe
C:\WINDOWS\system32\Adssite_sidebar_uninstall.exe
C:\WINDOWS\system32\Adssite_sidebar.dll
C:\WINDOWS\system32\iebrowserc.dll
C:\WINDOWS\system32\dispe.dll
Registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10F3E8BD-257A-4702-A2F5-DC02055B068C}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1D8282E6-BC4F-469B-AAED-7E4FF077AD93}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{731778C6-1A25-439D-8FB0-4F00BE3F5AF6}
3)- Double-clic sur l'icône "avenger.exe" du bureau, puis [OK] ( sur le message qui s'affiche ).
•- Sous "Script file to execute" cocher le bouton ratio devant "Input Script Manually".
< http://img78.imageshack.us/img78/5258/screenshot265wz9.gif >
Puis clique sur l'icône " en forme de loupe " qui va ouvrir une nouvelle fenêtre "View/edit script"
Dans cette fenêtre, pointer la souris dans le coin supérieur gauche, cliquer 1 fois, puis appuyer simultanément sur les touches (CTL+V)
•- Cliquer Done
Ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
Réponds "Yes" deux fois quand demandé.
4)- The Avenger va automatiquement faire ce qui suit:
Il va re-démarrer le système.
Pendant le re-démarrage, il apparaîtra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaître les actions exécutées par The Avenger.
Ce fichier log se trouve ici : C:\avenger.txt
5)- Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport hijackthis.
Termine par un ScanOnline PANDA (sous Internet Explorer donc) comme ceci, SVP:
Clic sur < https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
•- Procédure : - Branche les disques amovibles si tu en as .
- "Analyser votre pc" --> "suivant" --> remplir adresse mail (factice) --> Pays/Etat-région --> envoyer --> laisser se dérouler le téléchargement du contrôle ActiveX --> sélectionner "Poste de Travail" --> fermer la popup.
•- Note : (Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index > )
Attention!! Panda peut entrer en conflit avec autre antivirus . Par exemple, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan. (idem pour le Tea-Timer de Spybot S&D si tu l’as)
•- Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.hugedomains.com/domain_profile.cfm?d=monaco-pro&e=com
NOTE* A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
Bon courage
Bonne nuit pour moi ;)
Al.
jlpjlp a dû s'absenter ==> boulot.
Accepte de suivre strictement cette procédure SVP:
1)-Télécharge The Avenger par Swandog46 sur le Bureau avec ce lien: < http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ >
Click sur Avenger.zip pour ouvrir le fichier; en extraire "avenger.exe" sur votre bureau
2)- Sélectionner ( mettre en surbrillance ) TOUT le texte en gras ci-dessous, et appuyer simultanément sur les touches (Ctrl+C):
Files to delete:
C:\WINDOWS\system32\adssite-remove.exe
C:\WINDOWS\system32\Adssite_sidebar_uninstall.exe
C:\WINDOWS\system32\Adssite_sidebar.dll
C:\WINDOWS\system32\iebrowserc.dll
C:\WINDOWS\system32\dispe.dll
Registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10F3E8BD-257A-4702-A2F5-DC02055B068C}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1D8282E6-BC4F-469B-AAED-7E4FF077AD93}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{731778C6-1A25-439D-8FB0-4F00BE3F5AF6}
3)- Double-clic sur l'icône "avenger.exe" du bureau, puis [OK] ( sur le message qui s'affiche ).
•- Sous "Script file to execute" cocher le bouton ratio devant "Input Script Manually".
< http://img78.imageshack.us/img78/5258/screenshot265wz9.gif >
Puis clique sur l'icône " en forme de loupe " qui va ouvrir une nouvelle fenêtre "View/edit script"
Dans cette fenêtre, pointer la souris dans le coin supérieur gauche, cliquer 1 fois, puis appuyer simultanément sur les touches (CTL+V)
•- Cliquer Done
Ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
Réponds "Yes" deux fois quand demandé.
4)- The Avenger va automatiquement faire ce qui suit:
Il va re-démarrer le système.
Pendant le re-démarrage, il apparaîtra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaître les actions exécutées par The Avenger.
Ce fichier log se trouve ici : C:\avenger.txt
5)- Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport hijackthis.
Termine par un ScanOnline PANDA (sous Internet Explorer donc) comme ceci, SVP:
Clic sur < https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
•- Procédure : - Branche les disques amovibles si tu en as .
- "Analyser votre pc" --> "suivant" --> remplir adresse mail (factice) --> Pays/Etat-région --> envoyer --> laisser se dérouler le téléchargement du contrôle ActiveX --> sélectionner "Poste de Travail" --> fermer la popup.
•- Note : (Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index > )
Attention!! Panda peut entrer en conflit avec autre antivirus . Par exemple, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan. (idem pour le Tea-Timer de Spybot S&D si tu l’as)
•- Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.hugedomains.com/domain_profile.cfm?d=monaco-pro&e=com
NOTE* A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
Bon courage
Bonne nuit pour moi ;)
Al.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
4 févr. 2008 à 08:34
4 févr. 2008 à 08:34
merci afideg d'avoir poursuivi
a plus a tous les deux
a plus a tous les deux
Bonsoir,
Voici le rapport d'analyse de panda :
Résultats
Félicitations !
Aucun virus, logiciel espion, cheval de Troie ou aucune autre menace ACTIVE ou LATENTE n'a été détecté(e) sur votre PC.
Nous avons détecté que avast! antivirus 4.7.1098 [VPS 080206-0] est activé(e) et à jour.
El texto que corresponda en cada momento
Après l'analyse complète de votre PC, aucun logiciel malveillant ACTIF ou LATENT n'a été détecté.
Devenez membre de la communauté TotalScan Pro
Désinfection incluse !
Voici le rapport d'analyse de avenger
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mlqhoqvk
*******************
Script file located at: \??\C:\idbduutd.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\adssite-remove.exe not found!
Deletion of file C:\WINDOWS\system32\adssite-remove.exe failed!
Could not process line:
C:\WINDOWS\system32\adssite-remove.exe
Status: 0xc0000034
File C:\WINDOWS\system32\Adssite_sidebar_uninstall.exe not found!
Deletion of file C:\WINDOWS\system32\Adssite_sidebar_uninstall.exe failed!
Could not process line:
C:\WINDOWS\system32\Adssite_sidebar_uninstall.exe
Status: 0xc0000034
File C:\WINDOWS\system32\Adssite_sidebar.dll not found!
Deletion of file C:\WINDOWS\system32\Adssite_sidebar.dll failed!
Could not process line:
C:\WINDOWS\system32\Adssite_sidebar.dll
Status: 0xc0000034
File C:\WINDOWS\system32\iebrowserc.dll not found!
Deletion of file C:\WINDOWS\system32\iebrowserc.dll failed!
Could not process line:
C:\WINDOWS\system32\iebrowserc.dll
Status: 0xc0000034
Could not open file C:\WINDOWS\system32\dispe.dll for deletion
Deletion of file C:\WINDOWS\system32\dispe.dll failed!
Could not process line:
C:\WINDOWS\system32\dispe.dll
Status: 0xc0000022
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} failed!
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10F3E8BD-257A-4702-A2F5-DC02055B068C} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10F3E8BD-257A-4702-A2F5-DC02055B068C} failed!
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1D8282E6-BC4F-469B-AAED-7E4FF077AD93} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1D8282E6-BC4F-469B-AAED-7E4FF077AD93} failed!
Status: 0xc0000034
Could not open registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{731778C6-1A25-439D-8FB0-4F00BE3F5AF6} for deletion
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{731778C6-1A25-439D-8FB0-4F00BE3F5AF6} failed!
Status: 0xc0000022
Completed script processing.
*******************
Finished! Terminate.
J'ai suivi à la lettre; je n'ai pas reellement trouve de rapport détaillé de panda malgré le mot de passe.
Voici un nouveau hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:08:49, on 06/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {731778C6-1A25-439D-8FB0-4F00BE3F5AF6} - C:\WINDOWS\system32\dispe.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-682003330-1303643608-725345543-1004\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM= (User 'utilisateur')
O4 - HKUS\S-1-5-21-682003330-1303643608-725345543-1004\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'utilisateur')
O4 - HKUS\S-1-5-21-682003330-1303643608-725345543-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'utilisateur')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-682003330-1303643608-725345543-1004 Startup: TA_Start.lnk = C:\Documents and Settings\utilisateur\Local Settings\Temp\TIP2D002.exe (User 'utilisateur')
O4 - S-1-5-21-682003330-1303643608-725345543-1004 User Startup: TA_Start.lnk = C:\Documents and Settings\utilisateur\Local Settings\Temp\TIP2D002.exe (User 'utilisateur')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate- Activex Control) - https://www.songtexte.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{40706C38-354B-4F2F-8607-0DB82E30BFC9}: NameServer = 192.168.1.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
Voici le rapport d'analyse de panda :
Résultats
Félicitations !
Aucun virus, logiciel espion, cheval de Troie ou aucune autre menace ACTIVE ou LATENTE n'a été détecté(e) sur votre PC.
Nous avons détecté que avast! antivirus 4.7.1098 [VPS 080206-0] est activé(e) et à jour.
El texto que corresponda en cada momento
Après l'analyse complète de votre PC, aucun logiciel malveillant ACTIF ou LATENT n'a été détecté.
Devenez membre de la communauté TotalScan Pro
Désinfection incluse !
Voici le rapport d'analyse de avenger
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mlqhoqvk
*******************
Script file located at: \??\C:\idbduutd.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\adssite-remove.exe not found!
Deletion of file C:\WINDOWS\system32\adssite-remove.exe failed!
Could not process line:
C:\WINDOWS\system32\adssite-remove.exe
Status: 0xc0000034
File C:\WINDOWS\system32\Adssite_sidebar_uninstall.exe not found!
Deletion of file C:\WINDOWS\system32\Adssite_sidebar_uninstall.exe failed!
Could not process line:
C:\WINDOWS\system32\Adssite_sidebar_uninstall.exe
Status: 0xc0000034
File C:\WINDOWS\system32\Adssite_sidebar.dll not found!
Deletion of file C:\WINDOWS\system32\Adssite_sidebar.dll failed!
Could not process line:
C:\WINDOWS\system32\Adssite_sidebar.dll
Status: 0xc0000034
File C:\WINDOWS\system32\iebrowserc.dll not found!
Deletion of file C:\WINDOWS\system32\iebrowserc.dll failed!
Could not process line:
C:\WINDOWS\system32\iebrowserc.dll
Status: 0xc0000034
Could not open file C:\WINDOWS\system32\dispe.dll for deletion
Deletion of file C:\WINDOWS\system32\dispe.dll failed!
Could not process line:
C:\WINDOWS\system32\dispe.dll
Status: 0xc0000022
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} failed!
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10F3E8BD-257A-4702-A2F5-DC02055B068C} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10F3E8BD-257A-4702-A2F5-DC02055B068C} failed!
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1D8282E6-BC4F-469B-AAED-7E4FF077AD93} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1D8282E6-BC4F-469B-AAED-7E4FF077AD93} failed!
Status: 0xc0000034
Could not open registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{731778C6-1A25-439D-8FB0-4F00BE3F5AF6} for deletion
Deletion of registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{731778C6-1A25-439D-8FB0-4F00BE3F5AF6} failed!
Status: 0xc0000022
Completed script processing.
*******************
Finished! Terminate.
J'ai suivi à la lettre; je n'ai pas reellement trouve de rapport détaillé de panda malgré le mot de passe.
Voici un nouveau hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:08:49, on 06/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {731778C6-1A25-439D-8FB0-4F00BE3F5AF6} - C:\WINDOWS\system32\dispe.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-682003330-1303643608-725345543-1004\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM= (User 'utilisateur')
O4 - HKUS\S-1-5-21-682003330-1303643608-725345543-1004\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'utilisateur')
O4 - HKUS\S-1-5-21-682003330-1303643608-725345543-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'utilisateur')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-682003330-1303643608-725345543-1004 Startup: TA_Start.lnk = C:\Documents and Settings\utilisateur\Local Settings\Temp\TIP2D002.exe (User 'utilisateur')
O4 - S-1-5-21-682003330-1303643608-725345543-1004 User Startup: TA_Start.lnk = C:\Documents and Settings\utilisateur\Local Settings\Temp\TIP2D002.exe (User 'utilisateur')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate- Activex Control) - https://www.songtexte.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{40706C38-354B-4F2F-8607-0DB82E30BFC9}: NameServer = 192.168.1.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
rE
J'ai fait une analyse avec bitdefender et voici le resultat du scan
Fichier journal de BitDefender
Produit : BitDefender Total Security 2008
Version : BitDefender UIScanner V.11
Date du journal : 22:23:43 06/02/2008
Chemin du journal : C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\quick_scan\1202333023_1_00.xml
Analyse des chemins :Chemin0000: C:\WINDOWS
Chemin0001: C:\Program Files
Options d’analyse :Analyse contre les virus : Oui
Détecter les adwares : Oui
Analyse contre les spywares : Oui
Analyse des applications : Oui
Détecter les numéroteurs : Oui
Analyse contre les Rootkits : Non
Options de sélection de cible :Analyse les clés du registre : Non
Analyse des cookies : Non
Analyser le secteur de boot : Non
Analyse des processus mémoire : Non
Analyser les archives : Non
Analyser les fichiers enpaquetés : Oui
Analyser les emails : Oui
Analyser tous les fichiers : Oui
Analyse heuristique : Oui
Extensions analysées :
Extensions exclues :
Traitement cibleAction par défaut pour les objets infectés : Désinfecter
Action par défaut pour les objets suspects : Aucun
Action par défaut pour les objets camouflés : Aucun
Résumé de l'analyseNombre de signatures de virus : 0
Plugins archives : 0
Plug-ins messagerie : 0
Plugins d'analyse : 0
Plugins archives : 0
Plug-ins système : 0
Plug-ins décompression : 0
Résumé de l'analyse généraleEléments analysés : 0
Eléments infectés : 0
Eléments suspects : 0
Eléments résolus : 0
Virus individuels trouvés : 0
Répertoires analysés : 0
Secteur de boot analysés : 0
Archives analysés : 0
Erreurs I/O : 0
Temps d'analyse : 00:00:00:01
Fichiers par seconde : 0
Résumé des processus analysésAnalysé(s) : 0
Infecté(s) : 0
Résumé des clés de registre analyséesAnalysé(s) : 0
Infecté(s) : 0
Résumé des cookies analysésAnalysé(s) : 0
Infecté(s) : 0
Problèmes non résolus :Nom de l'objet Nom de la menace Etat final
Problèmes résolusNom de l'objet Nom de la menace Etat final
Merci.
tat
J'ai fait une analyse avec bitdefender et voici le resultat du scan
Fichier journal de BitDefender
Produit : BitDefender Total Security 2008
Version : BitDefender UIScanner V.11
Date du journal : 22:23:43 06/02/2008
Chemin du journal : C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\quick_scan\1202333023_1_00.xml
Analyse des chemins :Chemin0000: C:\WINDOWS
Chemin0001: C:\Program Files
Options d’analyse :Analyse contre les virus : Oui
Détecter les adwares : Oui
Analyse contre les spywares : Oui
Analyse des applications : Oui
Détecter les numéroteurs : Oui
Analyse contre les Rootkits : Non
Options de sélection de cible :Analyse les clés du registre : Non
Analyse des cookies : Non
Analyser le secteur de boot : Non
Analyse des processus mémoire : Non
Analyser les archives : Non
Analyser les fichiers enpaquetés : Oui
Analyser les emails : Oui
Analyser tous les fichiers : Oui
Analyse heuristique : Oui
Extensions analysées :
Extensions exclues :
Traitement cibleAction par défaut pour les objets infectés : Désinfecter
Action par défaut pour les objets suspects : Aucun
Action par défaut pour les objets camouflés : Aucun
Résumé de l'analyseNombre de signatures de virus : 0
Plugins archives : 0
Plug-ins messagerie : 0
Plugins d'analyse : 0
Plugins archives : 0
Plug-ins système : 0
Plug-ins décompression : 0
Résumé de l'analyse généraleEléments analysés : 0
Eléments infectés : 0
Eléments suspects : 0
Eléments résolus : 0
Virus individuels trouvés : 0
Répertoires analysés : 0
Secteur de boot analysés : 0
Archives analysés : 0
Erreurs I/O : 0
Temps d'analyse : 00:00:00:01
Fichiers par seconde : 0
Résumé des processus analysésAnalysé(s) : 0
Infecté(s) : 0
Résumé des clés de registre analyséesAnalysé(s) : 0
Infecté(s) : 0
Résumé des cookies analysésAnalysé(s) : 0
Infecté(s) : 0
Problèmes non résolus :Nom de l'objet Nom de la menace Etat final
Problèmes résolusNom de l'objet Nom de la menace Etat final
Merci.
tat
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
6 févr. 2008 à 22:55
6 févr. 2008 à 22:55
Salut TAT,
Bon, as-tu encore ce vilain trojan win32:bho-kd [trj] ??
Quel est ton pare-feu ?
As-tu payé ton Avast ?
Merci
Bonne soirée
Al.
Bon, as-tu encore ce vilain trojan win32:bho-kd [trj] ??
Quel est ton pare-feu ?
As-tu payé ton Avast ?
Merci
Bonne soirée
Al.
Bonjour
A priori, oui, je l'ai toujours, avast le trouve mais ne le supprime pas. Avast est un gratuit
Mon parefeu ? Je ne sais pas, j'ai AVG antispyware et ad aware 2007.
Merci
Tat
A priori, oui, je l'ai toujours, avast le trouve mais ne le supprime pas. Avast est un gratuit
Mon parefeu ? Je ne sais pas, j'ai AVG antispyware et ad aware 2007.
Merci
Tat
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
6 févr. 2008 à 23:13
6 févr. 2008 à 23:13
Re,
Bon, Avast ne le trouvera plus !
A)- Je constate que Avast ne te sert pas à grand-chose (sinon à t'avertir qu'il a laissé infecter ton PC !!).
Alors, fais-moi plaisir; applique ceci:
1)- Télécharger ANTIVIR sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp: < https://www.avira.com/en/free-antivirus-windows >
et qui prend en compte la case Rootkit.
- En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] (cocher la case « mode expert »).
TUTORIELS :
< https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement.
- ou < http://www.malekal.com/tutorial_antivir.html >
- ou < http://www.libellules.ch/tuto_antivir.php >
2)- Désinstaller AVAST: <
https://www.avast.com/fr-fr/uninstall-utility >
3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.
- Attention :
Sers-toi du tutoriel pour installer ANTIVIR,
4)- Procédure d'utilisation:
Après l'installation du programme et avant de lancer l'analyse, ...
...il faut redémarrer le PC en mode sans échec, comme ceci:
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
Lancer Antivir en Scan complet ( analyse avancée )
Poster le rapport SVP.
L'analyse:
- Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir »
- Cliquer sur l’onglet « scanner »
- Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut)
- Une fenêtre va s’ouvrir « Luke Filewalker »
- Le scan va démarrer.
- Mettre tout ce qu il trouve en "quarantine"
Le rapport:
Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître.
Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau).
Vide la QUARANTINE de Antivir en faisant : "clic-droit sur antivir" > "start antivir" > "quarantine" > selectionne ce qui s'y trouve via clic-droit > puis "delete" (ce pour chacun).
B)- Pour un bon pare-feu (autre que la passoire de Windows, qui ne contrôle pas ce qui sort de ton PC ), fais ce choix:
Télécharge ce pare-feu KERIO:
( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) ,
ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe >
ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html >
•- Ensuite lancer l'installation de ce pare-feu, comme ceci :
- Impérativement couper la connexion de ton modem (débranche-le),
- Ça peut être un routeur et tu es relié par un câble, tu débranches le cable.
- Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle).
-
-- Ensuite installer ce pare-feu une fois téléchargé ,
-- et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé
-- si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". ) < https://www.vulgarisation-informatique.com/pare-feu-xp.php >
-
--- Enfin si tout s'est bien déroulé, rétablir ta connexion à Internet.
•- Mais n'hésite pas à profiter des dernières versions si possible (Eventuellement mettre à jour Kério).
•- Visite ceci: < http://kerio.probb.fr/Securiser-et-desinfecter-c6/Configurer-parametrer-Kerio-4-version-gratuite-f2/Tutoriel-pour-Kerio-43635-p1012.htm > ; c'est ton intérêt .
Sur ce site, tu seras aidée spécifiquement à Kerio par mon Ami Boulepate.
Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio
- http://www.chez.com/leppa/scripts/kpfV4.html
- https://www.vulgarisation-informatique.com/kerio.php
Et pour bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php >
Il vaut mieux procéder comme cela: Tout est interdit, sauf ce qui est explicitement autorisé.
Pour savoir ce qu'est un port:
•- C'est quoi TCP/IP? À quoi ça sert ? Comment ça marche ?< http://sebsauvage.net/comprendre/tcpip/ >
•- C'est quoi un firewall ? Comment ça marche ?< http://sebsauvage.net/comprendre/firewall/ >
C)- AVG antispyware est un très bon logiciel.
Tu dois garder un anti-spyware sur ton PC; il est gratuit après sa période d'essai; mais il garde toutes ses fonctionnalités, SAUF la mise à jour ( que tu feras manuellement à chaque utilisation = 1 fois par mois ) et le bouclier résident ( qui lance le programme au démarrage, mais donc ralenti le PC ).
Bonne soirée
Al.
Bon, Avast ne le trouvera plus !
A)- Je constate que Avast ne te sert pas à grand-chose (sinon à t'avertir qu'il a laissé infecter ton PC !!).
Alors, fais-moi plaisir; applique ceci:
1)- Télécharger ANTIVIR sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp: < https://www.avira.com/en/free-antivirus-windows >
et qui prend en compte la case Rootkit.
- En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] (cocher la case « mode expert »).
TUTORIELS :
< https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement.
- ou < http://www.malekal.com/tutorial_antivir.html >
- ou < http://www.libellules.ch/tuto_antivir.php >
2)- Désinstaller AVAST: <
https://www.avast.com/fr-fr/uninstall-utility >
3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.
- Attention :
Sers-toi du tutoriel pour installer ANTIVIR,
4)- Procédure d'utilisation:
Après l'installation du programme et avant de lancer l'analyse, ...
...il faut redémarrer le PC en mode sans échec, comme ceci:
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
Lancer Antivir en Scan complet ( analyse avancée )
Poster le rapport SVP.
L'analyse:
- Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir »
- Cliquer sur l’onglet « scanner »
- Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut)
- Une fenêtre va s’ouvrir « Luke Filewalker »
- Le scan va démarrer.
- Mettre tout ce qu il trouve en "quarantine"
Le rapport:
Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître.
Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau).
Vide la QUARANTINE de Antivir en faisant : "clic-droit sur antivir" > "start antivir" > "quarantine" > selectionne ce qui s'y trouve via clic-droit > puis "delete" (ce pour chacun).
B)- Pour un bon pare-feu (autre que la passoire de Windows, qui ne contrôle pas ce qui sort de ton PC ), fais ce choix:
Télécharge ce pare-feu KERIO:
( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) ,
ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe >
ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html >
•- Ensuite lancer l'installation de ce pare-feu, comme ceci :
- Impérativement couper la connexion de ton modem (débranche-le),
- Ça peut être un routeur et tu es relié par un câble, tu débranches le cable.
- Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle).
-
-- Ensuite installer ce pare-feu une fois téléchargé ,
-- et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé
-- si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". ) < https://www.vulgarisation-informatique.com/pare-feu-xp.php >
-
--- Enfin si tout s'est bien déroulé, rétablir ta connexion à Internet.
•- Mais n'hésite pas à profiter des dernières versions si possible (Eventuellement mettre à jour Kério).
•- Visite ceci: < http://kerio.probb.fr/Securiser-et-desinfecter-c6/Configurer-parametrer-Kerio-4-version-gratuite-f2/Tutoriel-pour-Kerio-43635-p1012.htm > ; c'est ton intérêt .
Sur ce site, tu seras aidée spécifiquement à Kerio par mon Ami Boulepate.
Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio
- http://www.chez.com/leppa/scripts/kpfV4.html
- https://www.vulgarisation-informatique.com/kerio.php
Et pour bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php >
Il vaut mieux procéder comme cela: Tout est interdit, sauf ce qui est explicitement autorisé.
Pour savoir ce qu'est un port:
•- C'est quoi TCP/IP? À quoi ça sert ? Comment ça marche ?< http://sebsauvage.net/comprendre/tcpip/ >
•- C'est quoi un firewall ? Comment ça marche ?< http://sebsauvage.net/comprendre/firewall/ >
C)- AVG antispyware est un très bon logiciel.
Tu dois garder un anti-spyware sur ton PC; il est gratuit après sa période d'essai; mais il garde toutes ses fonctionnalités, SAUF la mise à jour ( que tu feras manuellement à chaque utilisation = 1 fois par mois ) et le bouclier résident ( qui lance le programme au démarrage, mais donc ralenti le PC ).
Bonne soirée
Al.
Bonsoir,
Bonne nouvelle !!!!!
J'ai plus ce maudit trojan !!!!!! c'est la fête !!!!
Merci mille fois, merci à ceux qui offre leurs competences à des neophites comme moi, et il y en a beaucoup....
Je t'envoie quand même le rapport avant de trop me rejouir
AntiVir PersonalEdition Classic
Report file date: jeudi 7 février 2008 18:44
Scanning for 1095787 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: thierry
Computer name: TATIANA-63BF9B2
Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 16:19:03
ANTIVIR2.VDF : 7.0.2.49 1339904 Bytes 25/01/2008 16:19:03
ANTIVIR3.VDF : 7.0.2.107 350208 Bytes 07/02/2008 16:19:03
AVEWIN32.DLL : 7.6.0.62 3240448 Bytes 07/02/2008 16:19:05
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 07/02/2008 16:19:05
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21
Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: jeudi 7 février 2008 18:44
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'msmsgs.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
26 processes with 26 modules were scanned
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '19' files ).
Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\thierry\Mes documents\Mes images\restore\26748[1].jpg
[DETECTION] The file contains an executable. This, however, is disguised by a harmless file extension (HIDDENEXT/Crypted)
[INFO] The file was moved to '47e2444f.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp17.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45ab.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp2.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45b1.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp2B.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45b5.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp3E.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45ba.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp4C.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45bd.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp5D.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45bf.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp6.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45c2.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp6B.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45c4.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmpC.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45c7.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmpE.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45ca.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\0CY68U9U\sb_ads_1008[1].exe
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '480a45ce.qua'!
C:\Program Files\Trend Micro\HijackThis\backups\backup-20080203-225147-107.dll
[DETECTION] Is the Trojan horse TR/BHO.abo.9
[INFO] The file was moved to '480e4ab5.qua'!
End of the scan: jeudi 7 février 2008 19:22
Used time: 38:10 min
The scan has been done completely.
4203 Scanning directories
163280 Files were scanned
13 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
13 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
163267 Files not concerned
1214 Archives were scanned
1 Warnings
0 Notes
Bonne soirée
Tat
Bonne nouvelle !!!!!
J'ai plus ce maudit trojan !!!!!! c'est la fête !!!!
Merci mille fois, merci à ceux qui offre leurs competences à des neophites comme moi, et il y en a beaucoup....
Je t'envoie quand même le rapport avant de trop me rejouir
AntiVir PersonalEdition Classic
Report file date: jeudi 7 février 2008 18:44
Scanning for 1095787 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: thierry
Computer name: TATIANA-63BF9B2
Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 16:19:03
ANTIVIR2.VDF : 7.0.2.49 1339904 Bytes 25/01/2008 16:19:03
ANTIVIR3.VDF : 7.0.2.107 350208 Bytes 07/02/2008 16:19:03
AVEWIN32.DLL : 7.6.0.62 3240448 Bytes 07/02/2008 16:19:05
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 07/02/2008 16:19:05
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21
Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: jeudi 7 février 2008 18:44
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'msmsgs.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
26 processes with 26 modules were scanned
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '19' files ).
Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\thierry\Mes documents\Mes images\restore\26748[1].jpg
[DETECTION] The file contains an executable. This, however, is disguised by a harmless file extension (HIDDENEXT/Crypted)
[INFO] The file was moved to '47e2444f.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp17.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45ab.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp2.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45b1.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp2B.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45b5.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp3E.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45ba.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp4C.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45bd.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp5D.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45bf.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp6.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45c2.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp6B.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45c4.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmpC.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45c7.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmpE.tmp
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '481b45ca.qua'!
C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\0CY68U9U\sb_ads_1008[1].exe
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZM.5
[INFO] The file was moved to '480a45ce.qua'!
C:\Program Files\Trend Micro\HijackThis\backups\backup-20080203-225147-107.dll
[DETECTION] Is the Trojan horse TR/BHO.abo.9
[INFO] The file was moved to '480e4ab5.qua'!
End of the scan: jeudi 7 février 2008 19:22
Used time: 38:10 min
The scan has been done completely.
4203 Scanning directories
163280 Files were scanned
13 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
13 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
163267 Files not concerned
1214 Archives were scanned
1 Warnings
0 Notes
Bonne soirée
Tat
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
7 févr. 2008 à 21:21
7 févr. 2008 à 21:21
Bonsoir
C'est bien
Pour cette liste intéressante:
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp17.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp2.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp2B.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp3E.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp4C.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp5D.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp6.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp6B.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmpC.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmpE.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\0CY68U9U\sb_ads_1008[1].exe
Regarde ici ce qu'elle révèle: < http://www.prevx.com/filenames/X2860140076166568032-X1/SB_ADS_1008%255B1%255D.EXE.html&sa=X&oi=translate&resnum=1&ct=result&prev=/search%3Fq%3Dsb_ads_1008%255B1%255D.exe%2B%26hl%3Dfr%26lr%3D%26sa%3DG%27 target='_blank' rel='nofollow'>http://translate.google.com/... > ; à savoir: BAD (= mauvais!) SB_ADS_1008[1].EXE => Malware.Gen Malware.Gen
Pour vider les poubelles, tu vas faire ainsi:
1°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer les extensions des fichiers dont le type est connu
- masquer les fichiers protégés du système d'exploitation
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
NOTE: Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >
2°- Donc, tu cliques sur "Démarrer" > "Poste de travail" > disque locl-al C:\ et tu suis les chemins des dossiers suivants :
•- C:\Documents and Settings\utilisateur\Local Settings\Temp <--- tu vides ce dossier ! (Ne pas le supprimer)
•- C:\Program Files\Trend Micro\HijackThis\backups <--- tu vides ce dossier ! (Ne pas le supprimer)
==> autrement dit, tu supprimes ce qu'il y a dedans .
•- C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\0CY68U9U <== tu supprimes cet élément s'il contient UNIQUEMENT "SB_ADS_1008[1].EXE". (sinon, que contient-il d'autre SVP?)
•- C:\Documents and Settings\thierry\Mes documents\Mes images\restore\26748[1].jpg <== supprime ce fichier
3°- Tu vides aussi la QUARANTINE de Antivir en faisant : "clic-droit sur antivir" > "start antivir" > "quarantine" > selectionne ce qui s'y trouve via clic-droit > puis "delete" (ce pour chacun).
Je voudrais vérifier quelque chose, comme ceci SVP:
Clique sur < http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe >
et enregistre-le sur ton bureau.
Ensuite double clique sur l’icône "Navilog1.exe" pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1).
Laisse-toi guider.
Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Merci
à+..
Al.
C'est bien
Pour cette liste intéressante:
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp17.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp2.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp2B.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp3E.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp4C.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp5D.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp6.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmp6B.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmpC.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temp\tmpE.tmp
C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\0CY68U9U\sb_ads_1008[1].exe
Regarde ici ce qu'elle révèle: < http://www.prevx.com/filenames/X2860140076166568032-X1/SB_ADS_1008%255B1%255D.EXE.html&sa=X&oi=translate&resnum=1&ct=result&prev=/search%3Fq%3Dsb_ads_1008%255B1%255D.exe%2B%26hl%3Dfr%26lr%3D%26sa%3DG%27 target='_blank' rel='nofollow'>http://translate.google.com/... > ; à savoir: BAD (= mauvais!) SB_ADS_1008[1].EXE => Malware.Gen Malware.Gen
Pour vider les poubelles, tu vas faire ainsi:
1°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer les extensions des fichiers dont le type est connu
- masquer les fichiers protégés du système d'exploitation
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
NOTE: Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >
2°- Donc, tu cliques sur "Démarrer" > "Poste de travail" > disque locl-al C:\ et tu suis les chemins des dossiers suivants :
•- C:\Documents and Settings\utilisateur\Local Settings\Temp <--- tu vides ce dossier ! (Ne pas le supprimer)
•- C:\Program Files\Trend Micro\HijackThis\backups <--- tu vides ce dossier ! (Ne pas le supprimer)
==> autrement dit, tu supprimes ce qu'il y a dedans .
•- C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\0CY68U9U <== tu supprimes cet élément s'il contient UNIQUEMENT "SB_ADS_1008[1].EXE". (sinon, que contient-il d'autre SVP?)
•- C:\Documents and Settings\thierry\Mes documents\Mes images\restore\26748[1].jpg <== supprime ce fichier
3°- Tu vides aussi la QUARANTINE de Antivir en faisant : "clic-droit sur antivir" > "start antivir" > "quarantine" > selectionne ce qui s'y trouve via clic-droit > puis "delete" (ce pour chacun).
Je voudrais vérifier quelque chose, comme ceci SVP:
Clique sur < http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe >
et enregistre-le sur ton bureau.
Ensuite double clique sur l’icône "Navilog1.exe" pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1).
Laisse-toi guider.
Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Merci
à+..
Al.
bonsoir,
Voici le rapport :
Search Navipromo version 3.4.3 commencé le 07/02/2008 à 21:55:31,34
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 06.02.2008 à 18h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\thierry\application data" ***
*** Recherche dossiers dans "C:\Documents and Settings\thierry\local settings\application data" ***
*** Recherche dossiers dans "C:\Documents and Settings\thierry\MENUDM~1\PROGRA~1" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\thierry\local settings\application data" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
HKEY_CURRENT_USER\Software\mc trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\thierry\local settings\application data" :
3)Recherche Certificats :
Certificat Egroup absent !
4)Recherche fichiers connus :
*** Analyse terminée le 07/02/2008 à 21:59:39,95 ***
Pour info, le dossier OCY68U9U contient des dossiers pas catholiques
J'attends la suite
Tat
Voici le rapport :
Search Navipromo version 3.4.3 commencé le 07/02/2008 à 21:55:31,34
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 06.02.2008 à 18h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\thierry\application data" ***
*** Recherche dossiers dans "C:\Documents and Settings\thierry\local settings\application data" ***
*** Recherche dossiers dans "C:\Documents and Settings\thierry\MENUDM~1\PROGRA~1" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\thierry\local settings\application data" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
HKEY_CURRENT_USER\Software\mc trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\thierry\local settings\application data" :
3)Recherche Certificats :
Certificat Egroup absent !
4)Recherche fichiers connus :
*** Analyse terminée le 07/02/2008 à 21:59:39,95 ***
Pour info, le dossier OCY68U9U contient des dossiers pas catholiques
J'attends la suite
Tat
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
7 févr. 2008 à 22:55
7 févr. 2008 à 22:55
OK
Merci
A)- Commence par ceci:
Double-clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde ("fichier" > "enregistrer sous ..") le rapport de manière à le retrouver ==> sur le bureau.
Referme le bloc-notes. Ton bureau va réapparaitre ==> poste le rapport SVP
PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.
B)- Pour ce "dossier" OCY68U9U , sais-tu l'ouvrir et faire une capture écran de son contenu SVP (pour que ça prenne moins de place, affiche "détails" au lieu de "icônes") ? merci.
Ne le supprime pas. Il faut savoir ce qu'il contient. ==> Y avait-il encore ce sb_ads_1008[1].exe ?
Al.
Merci
A)- Commence par ceci:
Double-clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde ("fichier" > "enregistrer sous ..") le rapport de manière à le retrouver ==> sur le bureau.
Referme le bloc-notes. Ton bureau va réapparaitre ==> poste le rapport SVP
PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.
B)- Pour ce "dossier" OCY68U9U , sais-tu l'ouvrir et faire une capture écran de son contenu SVP (pour que ça prenne moins de place, affiche "détails" au lieu de "icônes") ? merci.
Ne le supprime pas. Il faut savoir ce qu'il contient. ==> Y avait-il encore ce sb_ads_1008[1].exe ?
Al.
