Virus dans fichier ftp34.dll
Fermé
wazaaaaa
-
9 mai 2008 à 14:31
wazaaaaa Messages postés 1 Date d'inscription lundi 12 mai 2008 Statut Membre Dernière intervention 14 mai 2008 - 14 mai 2008 à 23:32
wazaaaaa Messages postés 1 Date d'inscription lundi 12 mai 2008 Statut Membre Dernière intervention 14 mai 2008 - 14 mai 2008 à 23:32
A voir également:
- Virus dans fichier ftp34.dll
- Fichier rar - Guide
- Fichier host - Guide
- Fichier iso - Guide
- Comment réduire la taille d'un fichier - Guide
- Ouvrir fichier .bin - Guide
5 réponses
Utilisateur anonyme
9 mai 2008 à 14:32
9 mai 2008 à 14:32
lu,
envoi :
https://www.virustotal.com/gui/
voir lequel le détect ;)
envoi :
https://www.virustotal.com/gui/
voir lequel le détect ;)
Utilisateur anonyme
9 mai 2008 à 14:47
9 mai 2008 à 14:47
fait ce que je te dit^^
donne moi la liste qui le détecte ^^
donne moi la liste qui le détecte ^^
ok ok
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.3.0 2008.05.08 -
AntiVir 7.8.0.14 2008.05.08 TR/Spy.Gen
Authentium 4.93.8 2008.05.08 -
Avast 4.8.1169.0 2008.05.07 -
AVG 7.5.0.516 2008.05.07 PSW.Agent.SYV
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.08 -
ClamAV 0.92.1 2008.05.08 -
DrWeb 4.44.0.09170 2008.05.08 -
eSafe 7.0.15.0 2008.05.07 -
eTrust-Vet 31.4.5771 2008.05.08 Win32/Ruternam!generic
Ewido 4.0 2008.05.08 -
F-Prot 4.4.2.54 2008.05.08 -
F-Secure 6.70.13260.0 2008.05.08 Trojan-Downloader.Win32.Small.vem
Fortinet 3.14.0.0 2008.05.08 W32/Small.VEM!tr.dldr
Ikarus T3.1.1.26 2008.05.08 Trojan-Spy
Kaspersky 7.0.0.125 2008.05.08 Trojan-Downloader.Win32.Small.vem
McAfee 5291 2008.05.08 -
Microsoft 1.3408 2008.05.08 -
NOD32v2 3086 2008.05.08 a variant of Win32/PSW.Agent.NHG
Norman 5.80.02 2008.05.08 -
Panda 9.0.0.4 2008.05.08 Trj/Agent.ISS
Prevx1 V2 2008.05.08 Cloaked Malware
Rising 20.43.32.00 2008.05.08 -
Sophos 4.29.0 2008.05.08 Troj/Agent-GXN
Sunbelt 3.0.1097.0 2008.05.07 Trojan.Spy.Gen
Symantec 10 2008.05.08 -
TheHacker 6.2.92.305 2008.05.08 -
VBA32 3.12.6.5 2008.05.08 -
VirusBuster 4.3.26:9 2008.05.08 -
Webwasher-Gateway 6.6.2 2008.05.08 Trojan.Spy.Gen
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.3.0 2008.05.08 -
AntiVir 7.8.0.14 2008.05.08 TR/Spy.Gen
Authentium 4.93.8 2008.05.08 -
Avast 4.8.1169.0 2008.05.07 -
AVG 7.5.0.516 2008.05.07 PSW.Agent.SYV
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.08 -
ClamAV 0.92.1 2008.05.08 -
DrWeb 4.44.0.09170 2008.05.08 -
eSafe 7.0.15.0 2008.05.07 -
eTrust-Vet 31.4.5771 2008.05.08 Win32/Ruternam!generic
Ewido 4.0 2008.05.08 -
F-Prot 4.4.2.54 2008.05.08 -
F-Secure 6.70.13260.0 2008.05.08 Trojan-Downloader.Win32.Small.vem
Fortinet 3.14.0.0 2008.05.08 W32/Small.VEM!tr.dldr
Ikarus T3.1.1.26 2008.05.08 Trojan-Spy
Kaspersky 7.0.0.125 2008.05.08 Trojan-Downloader.Win32.Small.vem
McAfee 5291 2008.05.08 -
Microsoft 1.3408 2008.05.08 -
NOD32v2 3086 2008.05.08 a variant of Win32/PSW.Agent.NHG
Norman 5.80.02 2008.05.08 -
Panda 9.0.0.4 2008.05.08 Trj/Agent.ISS
Prevx1 V2 2008.05.08 Cloaked Malware
Rising 20.43.32.00 2008.05.08 -
Sophos 4.29.0 2008.05.08 Troj/Agent-GXN
Sunbelt 3.0.1097.0 2008.05.07 Trojan.Spy.Gen
Symantec 10 2008.05.08 -
TheHacker 6.2.92.305 2008.05.08 -
VBA32 3.12.6.5 2008.05.08 -
VirusBuster 4.3.26:9 2008.05.08 -
Webwasher-Gateway 6.6.2 2008.05.08 Trojan.Spy.Gen
ps : je viens de voir autre chose :
j'ai été obligé une nouvelle fois de redémarrer et quelques minutes après, une fenetre noire s'ouvre et une commande s'effectue par rapport au dossier "system32". à partir de là mon pc rame trop et pour cause, je ne peux plus accéder à ce dossier car il y a pleins de fichier qui se créer (j'ai fait propriétés et c'est hallucinant à la vitesse où ca va)
je t'ai envoyé ca du pc portable d'un ami car mon pc a vraiment du mal...
j'ai été obligé une nouvelle fois de redémarrer et quelques minutes après, une fenetre noire s'ouvre et une commande s'effectue par rapport au dossier "system32". à partir de là mon pc rame trop et pour cause, je ne peux plus accéder à ce dossier car il y a pleins de fichier qui se créer (j'ai fait propriétés et c'est hallucinant à la vitesse où ca va)
je t'ai envoyé ca du pc portable d'un ami car mon pc a vraiment du mal...
Utilisateur anonyme
9 mai 2008 à 17:22
9 mai 2008 à 17:22
branche tous tes supports externes (clés usb, mp3...) ne les retire pas avant la fin du scan !
fait un scan en ligne avec internet explore, si tu as firefox fait:
démarrer -> executer -> tape : iexplore (puis valide)
(coche toutes les cases à chaque fois) :
https://www.eset.com/
à la fin colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt
si ta besoin d'aide tu as un tutoriel ici : http://bibou0007.com/tutos-et-lexique-f45/tutorial-nod32-online-scanner-t128.htm
-----------------------
Ensuite une fois fini fait un rapport hijackthis :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
tu le télécharges, tu le lances et tu cliquera sur le premier bouton en haut "Do a system scan and save a logfile"
tu colleras le fichier texte ici ;).
fait un scan en ligne avec internet explore, si tu as firefox fait:
démarrer -> executer -> tape : iexplore (puis valide)
(coche toutes les cases à chaque fois) :
https://www.eset.com/
à la fin colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt
si ta besoin d'aide tu as un tutoriel ici : http://bibou0007.com/tutos-et-lexique-f45/tutorial-nod32-online-scanner-t128.htm
-----------------------
Ensuite une fois fini fait un rapport hijackthis :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
tu le télécharges, tu le lances et tu cliquera sur le premier bouton en haut "Do a system scan and save a logfile"
tu colleras le fichier texte ici ;).
Je viens de restaurer mon système a une date antérieure à la date dont je pense avoir attrapé cette m.... , et c'est pareil. Cela n'a rien changé , j'ai toujours ftp34.dll infecté même aprés deux antivirus en ligne (Panda et securiser.com) + la restauration du système .
Qu'est ce que tu as fais avant ou aprés ta restauration du système, as tu fais uniquement cela ?
PS : je me permet d'écrire sur ce post, car j'ai l'impression d'avoir le même problème que wazaaaaa sur le même fichier depuis le même jour.
Voila ce que j'ai fais :
Quand j'ai détecté un fonctionnement anormal de mon poste (erreur de plugin au démarrage de intel proset + fonctionnement anormal de IE6) , je met a jour avast familial (qui était déjà à jour) , adaware et spybot et lance le scan les un aprés les autres. Les deux premiers n'ont rien détecté.
Par contre, Spybot détecte ce virus dans ftp34.dll et cftmon.exe, aprés vérification sur le net, je copie cftmon.exe en le renommant (en attendant une solution) et fait tout supprimmer par spybot et cela marche pas bien pour une des clés de registre car il y a un programme de démarré qui empèche la suppression (à ce que je comprends) , spybot me demande de redémarrer pour re-scanner mon poste au démarrage et là, il retrouve les même fichiers infectés que je refais supprimmer. Cela change rien en définitive, cette m.... est toujours là.
J'utilise, alors Panda antivirus en ligne qui détecte l'infection:
le 09_05_08 : détection virus par panda :
Trj/Agent.ISS Virus Latent(e) Masquer +Infos
1. C:\System Volume Information\_restore{9EB0353...C3-EA01388A5664}\RP100\A0103324.DLL
2. C:\System Volume Information\_restore{9EB0353...C3-EA01388A5664}\RP100\A0103325.DLL
3. C:\Documents and Settings\LocalService\FTP34.DLL
4. C:\Documents and Settings\christophe\FTP34.DLL
et me dit qu'il a désinfecté, mais je vois bien que cela n'est pas désinfecté
Pour finir, j'utilise l'antivirus en ligne de securiser.com qui détecte : troj small.gld dans 25 clés et fichiers, je les supprimmes et c'est toujours pareil .
Je suis tombé sur votre forum en voyant wazaaaaa qui semble avoir le même problème que moi, c'est pourquoi je me suis permis de vous écrire.
J'ai l'impression que ce virus a remplacé ou fait bugger intel proset qui ne démarre plus au démarrage du poste (pb de plugin) , par contre je me connecte bien en wifi en passant par la connexion réseau sans fil de windows alors que je ne l'ai jamais paramétré (car paramétrage particulier de mon wifi ) et que je suis toujours passé par intel proset. D'ailleurs, lorsque je fais demarrer Intel proset manuellement, il s'ouvre, mais ne fonctionne pas.
Bizarre, peut être que ce sont deux éléments distinct et que mon problème avec Trj/Agent.ISS est distinct avec mon pb de wifi ???, mais j'ai un doute, car c'est arrivé en même temps.
Est ce que wazaaaaa, tu as un portable et utilise intel proset ?, est ce qu'intel proset fonctionne ?
J'ai windows XP et IE6 sur un portable qui a intel proset
Qu'est ce que tu as fais avant ou aprés ta restauration du système, as tu fais uniquement cela ?
PS : je me permet d'écrire sur ce post, car j'ai l'impression d'avoir le même problème que wazaaaaa sur le même fichier depuis le même jour.
Voila ce que j'ai fais :
Quand j'ai détecté un fonctionnement anormal de mon poste (erreur de plugin au démarrage de intel proset + fonctionnement anormal de IE6) , je met a jour avast familial (qui était déjà à jour) , adaware et spybot et lance le scan les un aprés les autres. Les deux premiers n'ont rien détecté.
Par contre, Spybot détecte ce virus dans ftp34.dll et cftmon.exe, aprés vérification sur le net, je copie cftmon.exe en le renommant (en attendant une solution) et fait tout supprimmer par spybot et cela marche pas bien pour une des clés de registre car il y a un programme de démarré qui empèche la suppression (à ce que je comprends) , spybot me demande de redémarrer pour re-scanner mon poste au démarrage et là, il retrouve les même fichiers infectés que je refais supprimmer. Cela change rien en définitive, cette m.... est toujours là.
J'utilise, alors Panda antivirus en ligne qui détecte l'infection:
le 09_05_08 : détection virus par panda :
Trj/Agent.ISS Virus Latent(e) Masquer +Infos
1. C:\System Volume Information\_restore{9EB0353...C3-EA01388A5664}\RP100\A0103324.DLL
2. C:\System Volume Information\_restore{9EB0353...C3-EA01388A5664}\RP100\A0103325.DLL
3. C:\Documents and Settings\LocalService\FTP34.DLL
4. C:\Documents and Settings\christophe\FTP34.DLL
et me dit qu'il a désinfecté, mais je vois bien que cela n'est pas désinfecté
Pour finir, j'utilise l'antivirus en ligne de securiser.com qui détecte : troj small.gld dans 25 clés et fichiers, je les supprimmes et c'est toujours pareil .
Je suis tombé sur votre forum en voyant wazaaaaa qui semble avoir le même problème que moi, c'est pourquoi je me suis permis de vous écrire.
J'ai l'impression que ce virus a remplacé ou fait bugger intel proset qui ne démarre plus au démarrage du poste (pb de plugin) , par contre je me connecte bien en wifi en passant par la connexion réseau sans fil de windows alors que je ne l'ai jamais paramétré (car paramétrage particulier de mon wifi ) et que je suis toujours passé par intel proset. D'ailleurs, lorsque je fais demarrer Intel proset manuellement, il s'ouvre, mais ne fonctionne pas.
Bizarre, peut être que ce sont deux éléments distinct et que mon problème avec Trj/Agent.ISS est distinct avec mon pb de wifi ???, mais j'ai un doute, car c'est arrivé en même temps.
Est ce que wazaaaaa, tu as un portable et utilise intel proset ?, est ce qu'intel proset fonctionne ?
J'ai windows XP et IE6 sur un portable qui a intel proset
salut dorgane.
j'ai fais les choses suivantes :
j'ai fais le scan en ligne et voilà le résultat :
# version=4
# OnlineScanner.ocx=1.0.0.56
# OnlineScannerDLLA.dll=1, 0, 0, 51
# OnlineScannerDLLW.dll=1, 0, 0, 51
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3093 (20080512)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.064 (20070717)
# EOSSerial=1adbe8a5b2c2524c9801961649afcdf8
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2008-05-12 07:32:00
# local_time=2008-05-12 09:32:00 (+0100, Paris, Madrid)
# country="France"
# osver=5.1.2600 NT Service Pack 2
# scanned=281396
# found=3
# scan_time=3412
C:\Documents and Settings\FOUGEROUSE Sebastien\ftp34.dll a variant of Win32/PSW.Agent.NHG trojan (unable to clean - deleted (after the next restart)) 00000000000000000000000000000000
C:\Documents and Settings\LocalService\ftp34.dll a variant of Win32/PSW.Agent.NHG trojan (unable to clean - deleted) 00000000000000000000000000000000
C:\WINDOWS\system32\ftp34.dll a variant of Win32/PSW.Agent.NHG trojan (unable to clean - deleted) 00000000000000000000000000000000
il en détruit 2 et dit de redémarrer pour détruire le 3ème mais quand je redémarre le virus est toujours là (il se balade partout...)
j'ai aussi fait le rapport hijack d'où :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:56:24, on 12/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\PsCtrls.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\FOUGEROUSE Sebastien\cftmon.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\RaUI.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\psimreal.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE
F:\quicktime\qttask.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\avciman.exe
c:\program files\panda software\panda antivirus 2007\WebProxy.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Documents and Settings\FOUGEROUSE Sebastien\Mes documents\Sebastien FOUGEROUSE\hijackthis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "F:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\FOUGEROUSE Sebastien\cftmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\FOUGEROUSE Sebastien\cftmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\WINDOWS\RaUI.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: Yahoo! Chess - http://download2.games.yahoo.com/games/clients/y/ct5_x.cab
O16 - DPF: Yahoo! Dominoes - http://download2.games.yahoo.com/games/clients/y/dot9_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download2.games.yahoo.com/games/clients/y/poti_x.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - F:\\webserver\bin\win32\matlabserver.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\PsCtrls.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe
O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
j'ai fais les choses suivantes :
j'ai fais le scan en ligne et voilà le résultat :
# version=4
# OnlineScanner.ocx=1.0.0.56
# OnlineScannerDLLA.dll=1, 0, 0, 51
# OnlineScannerDLLW.dll=1, 0, 0, 51
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3093 (20080512)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.064 (20070717)
# EOSSerial=1adbe8a5b2c2524c9801961649afcdf8
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2008-05-12 07:32:00
# local_time=2008-05-12 09:32:00 (+0100, Paris, Madrid)
# country="France"
# osver=5.1.2600 NT Service Pack 2
# scanned=281396
# found=3
# scan_time=3412
C:\Documents and Settings\FOUGEROUSE Sebastien\ftp34.dll a variant of Win32/PSW.Agent.NHG trojan (unable to clean - deleted (after the next restart)) 00000000000000000000000000000000
C:\Documents and Settings\LocalService\ftp34.dll a variant of Win32/PSW.Agent.NHG trojan (unable to clean - deleted) 00000000000000000000000000000000
C:\WINDOWS\system32\ftp34.dll a variant of Win32/PSW.Agent.NHG trojan (unable to clean - deleted) 00000000000000000000000000000000
il en détruit 2 et dit de redémarrer pour détruire le 3ème mais quand je redémarre le virus est toujours là (il se balade partout...)
j'ai aussi fait le rapport hijack d'où :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:56:24, on 12/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\PsCtrls.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\FOUGEROUSE Sebastien\cftmon.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\RaUI.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\psimreal.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE
F:\quicktime\qttask.exe
C:\Program Files\Panda Software\Panda Antivirus 2007\avciman.exe
c:\program files\panda software\panda antivirus 2007\WebProxy.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Documents and Settings\FOUGEROUSE Sebastien\Mes documents\Sebastien FOUGEROUSE\hijackthis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "F:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\FOUGEROUSE Sebastien\cftmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\FOUGEROUSE Sebastien\cftmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\WINDOWS\RaUI.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: Yahoo! Chess - http://download2.games.yahoo.com/games/clients/y/ct5_x.cab
O16 - DPF: Yahoo! Dominoes - http://download2.games.yahoo.com/games/clients/y/dot9_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download2.games.yahoo.com/games/clients/y/poti_x.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - F:\\webserver\bin\win32\matlabserver.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\PsCtrls.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe
O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
tof81
Messages postés
1
Date d'inscription
dimanche 11 mai 2008
Statut
Membre
Dernière intervention
14 mai 2008
14 mai 2008 à 11:34
14 mai 2008 à 11:34
Bonjour,
je pense avoir réussi à faire partir ce virus, c'est pour cela que je te dit ce que j'ai fait sans savoir si cela fonctionnera pour toi.
Tout d'abord je raconte mon cheminement, j'ai modifié le paramétrage d'AVAST , j'ai augmenté la sensibilité au maximum et je lui ai demandé de scanner aussi les archives. Là, il me trouve enfin le virus et le nomme : win32:rootkit-gen, ce qui signifi : "fichier qui n'est pas dans notre base de données mais dont l'activité laisse penser qu'il peut s'agir d'un virus" (d'aprés les sites internet).
Du coup, en permanence, je voyais arriver une alerte d'Avast : ftp34.dll que je supprimmais, ou mettais en quarantaine à la chaine, dés que je le supprimmai, il revenait ce P..... de virus.
J'ai donc cherché une solution sur le net et j'ai trouvé différent sites comme :
http://www.commentcamarche.net/forum/affich 5900855 win32 rootkit gen
et
https://forum.zebulon.fr/topic/142345-eliminer-un-cheval-de-troie
J'en ai fait une synthèse de pleins de sites (dont ceux ci-dessus) et j'ai fait ma propre sauce qui a l'air de marcher pour l'instant (je croise les doigts).
1 j'ai téléchargé ccleaner et un petit programme sdfix.exe que j'ai trouvé sur le deuxième forum que j'ai mis audessus , voici les liens pour les télécharger :
pour ccleaner :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
et pour sdfix.exe, merci andy manchesta :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
ou
http://download.bleepingcomputer.com/andymanchesta/SDFix.exe
Je les ai sauvegardé dans un répertoire sous C:/ que j'ai créé pour l'occasion
2 J'ai regardé quels programmes tournaient sur l'ordinateur et qui ne devraient pas en passant par le gestionnaire de tache et en faisant ctrl+alt+suppr et en choisissant gestionnaire de tache, puis j'ai cliqué sur processus et là j'ai vue tous les processus . En lisant les forums et en regardant bien, j'ai vue que j'avais plusieurs programmes qui tournaient et qui ne devraient pas :
J'avais plusieurs cftmon.exe de démarré et 2 spools.exe qui ne devrait pas apparaître dans cette liste
cftmon.exe est un programme nécessaire à windows pour corriger l'ortographe, j'en avais 6 de démarré en même temps et je ne pouvais pas les arrêter (terminer le processus). Cela voulait bien dire ce que c'était : virus
3 j'ai redémarré mon ordinateur en mode sans échec avec la touche F8
sinon voir ci_dessous l'autre méthode pour redémarrer en mode sans échec
http://www.commentcamarche.net/faq/sujet 5004 windows xp demarrage en mode sans echec
4 J'ai arrêté les processus qui s'activaient au démarrage de l'ordinateur en passant par msconfig :
Arrêt de cftmon.exe et spools.exe en décochant devant leur ligne (il faut aller avant tout dans l'onglet démarage : voir ci-dessous l'explication au commentaire 2).
http://www.commentcamarche.net/forum/affich 1106511 desactiver les programmes au demarrage
5 J'ai supprimmé sur mon poste tous les fichiers qui se finissent par cftmon.exe avec rechercher sur tout l'ordinateur et en cliquant sur option avancées (j'ai coché : recherche dans les dossiers systèmes, rechercher dans les fichiers et les dossiers cachés, rechercher dans les sous-dossiers)
Par exemple, je n'ai pas supprimmé : CFTMON.EXE-19FAA4AF.pf qui était dans C:\WINDOWS\prefetch parce que je ne savais pas ce que cela ferai
Remarque : attention, si j'ai bien lut dans les sites cftmon.exe sert pour le correcteur d'ortographe, donc si suppression ... plus de correcteur... . Moi de toute façon, je ne l'utilise pas, je suis trop nul en ortographe comme tu peux le voir.
6 J'ai lancé ccleaner que j'avais mis dans un répertoire sous C:\
Puis clique sur le bouton « Analyse » ensuite bouton « Lancer le Nettoyage ».
Ensuite clique sur le bouton « registre » (en bleu en dessous de nétoyeur) puis clique sur « chercher des erreurs » et quand s'est finis, sur « réparer les erreurs sélectionnées ».
7 j'ai lancé sdfix.exe qui se dézippe (je crois que je l'avais dézippé avant de passer en mode sans échec), et j'ai double cliqué sur RunThis.bat, il faut dire Y et laisser faire. Il nous dit qu'il y a plein d'erreurs, que cela fonctionne pas, j'ai laissé faire un long moment et quand s'était fini, j'ai redémarré en mode normal. Là, j'ai laissé redémarrer sans rien toucher car ce programme (sdfix) se relance au redémarrage (cela dure pas mal de temps) et du coup, lors du démarage, j'ai enfin récupéré intel proset et je n'avais plus mon pb avec IE6.
Voili, voila ce que j'ai fait et qui semble avoir fonctionné.
Je ne sais donc pas si j'aurai pu écarter certains procédés que j'ai mis en place. je laisse à des personnes plus compétentes que moi refaire une bonne procédure aprés cela.
Peut être cela pourra aider un petit peu ce que j'ai fais ou pas du tout, enfin, j'espère avoir fait avancer le chimlingblic !!!!!
Bonne journée tout le monde...
PS 1: avant tout cela on peut sauvegarder la base de registre en créant un point de restauration , comme cela si cela se passe mal avec ccleaner on peut faire une marche arrière :
http://www.commentcamarche.net/faq/sujet 740 windows xp points de restauration
aller au point n°7 pour savoir comment le faire point de restauration
PS 2 : je ne sais pas si pour arrêter ce virus, il fallait faire tout cela, moi j'ai fait cela et cela m'a semblé fonctionner.
je pense avoir réussi à faire partir ce virus, c'est pour cela que je te dit ce que j'ai fait sans savoir si cela fonctionnera pour toi.
Tout d'abord je raconte mon cheminement, j'ai modifié le paramétrage d'AVAST , j'ai augmenté la sensibilité au maximum et je lui ai demandé de scanner aussi les archives. Là, il me trouve enfin le virus et le nomme : win32:rootkit-gen, ce qui signifi : "fichier qui n'est pas dans notre base de données mais dont l'activité laisse penser qu'il peut s'agir d'un virus" (d'aprés les sites internet).
Du coup, en permanence, je voyais arriver une alerte d'Avast : ftp34.dll que je supprimmais, ou mettais en quarantaine à la chaine, dés que je le supprimmai, il revenait ce P..... de virus.
J'ai donc cherché une solution sur le net et j'ai trouvé différent sites comme :
http://www.commentcamarche.net/forum/affich 5900855 win32 rootkit gen
et
https://forum.zebulon.fr/topic/142345-eliminer-un-cheval-de-troie
J'en ai fait une synthèse de pleins de sites (dont ceux ci-dessus) et j'ai fait ma propre sauce qui a l'air de marcher pour l'instant (je croise les doigts).
1 j'ai téléchargé ccleaner et un petit programme sdfix.exe que j'ai trouvé sur le deuxième forum que j'ai mis audessus , voici les liens pour les télécharger :
pour ccleaner :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
et pour sdfix.exe, merci andy manchesta :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
ou
http://download.bleepingcomputer.com/andymanchesta/SDFix.exe
Je les ai sauvegardé dans un répertoire sous C:/ que j'ai créé pour l'occasion
2 J'ai regardé quels programmes tournaient sur l'ordinateur et qui ne devraient pas en passant par le gestionnaire de tache et en faisant ctrl+alt+suppr et en choisissant gestionnaire de tache, puis j'ai cliqué sur processus et là j'ai vue tous les processus . En lisant les forums et en regardant bien, j'ai vue que j'avais plusieurs programmes qui tournaient et qui ne devraient pas :
J'avais plusieurs cftmon.exe de démarré et 2 spools.exe qui ne devrait pas apparaître dans cette liste
cftmon.exe est un programme nécessaire à windows pour corriger l'ortographe, j'en avais 6 de démarré en même temps et je ne pouvais pas les arrêter (terminer le processus). Cela voulait bien dire ce que c'était : virus
3 j'ai redémarré mon ordinateur en mode sans échec avec la touche F8
sinon voir ci_dessous l'autre méthode pour redémarrer en mode sans échec
http://www.commentcamarche.net/faq/sujet 5004 windows xp demarrage en mode sans echec
4 J'ai arrêté les processus qui s'activaient au démarrage de l'ordinateur en passant par msconfig :
Arrêt de cftmon.exe et spools.exe en décochant devant leur ligne (il faut aller avant tout dans l'onglet démarage : voir ci-dessous l'explication au commentaire 2).
http://www.commentcamarche.net/forum/affich 1106511 desactiver les programmes au demarrage
5 J'ai supprimmé sur mon poste tous les fichiers qui se finissent par cftmon.exe avec rechercher sur tout l'ordinateur et en cliquant sur option avancées (j'ai coché : recherche dans les dossiers systèmes, rechercher dans les fichiers et les dossiers cachés, rechercher dans les sous-dossiers)
Par exemple, je n'ai pas supprimmé : CFTMON.EXE-19FAA4AF.pf qui était dans C:\WINDOWS\prefetch parce que je ne savais pas ce que cela ferai
Remarque : attention, si j'ai bien lut dans les sites cftmon.exe sert pour le correcteur d'ortographe, donc si suppression ... plus de correcteur... . Moi de toute façon, je ne l'utilise pas, je suis trop nul en ortographe comme tu peux le voir.
6 J'ai lancé ccleaner que j'avais mis dans un répertoire sous C:\
Puis clique sur le bouton « Analyse » ensuite bouton « Lancer le Nettoyage ».
Ensuite clique sur le bouton « registre » (en bleu en dessous de nétoyeur) puis clique sur « chercher des erreurs » et quand s'est finis, sur « réparer les erreurs sélectionnées ».
7 j'ai lancé sdfix.exe qui se dézippe (je crois que je l'avais dézippé avant de passer en mode sans échec), et j'ai double cliqué sur RunThis.bat, il faut dire Y et laisser faire. Il nous dit qu'il y a plein d'erreurs, que cela fonctionne pas, j'ai laissé faire un long moment et quand s'était fini, j'ai redémarré en mode normal. Là, j'ai laissé redémarrer sans rien toucher car ce programme (sdfix) se relance au redémarrage (cela dure pas mal de temps) et du coup, lors du démarage, j'ai enfin récupéré intel proset et je n'avais plus mon pb avec IE6.
Voili, voila ce que j'ai fait et qui semble avoir fonctionné.
Je ne sais donc pas si j'aurai pu écarter certains procédés que j'ai mis en place. je laisse à des personnes plus compétentes que moi refaire une bonne procédure aprés cela.
Peut être cela pourra aider un petit peu ce que j'ai fais ou pas du tout, enfin, j'espère avoir fait avancer le chimlingblic !!!!!
Bonne journée tout le monde...
PS 1: avant tout cela on peut sauvegarder la base de registre en créant un point de restauration , comme cela si cela se passe mal avec ccleaner on peut faire une marche arrière :
http://www.commentcamarche.net/faq/sujet 740 windows xp points de restauration
aller au point n°7 pour savoir comment le faire point de restauration
PS 2 : je ne sais pas si pour arrêter ce virus, il fallait faire tout cela, moi j'ai fait cela et cela m'a semblé fonctionner.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
wazaaaaa
Messages postés
1
Date d'inscription
lundi 12 mai 2008
Statut
Membre
Dernière intervention
14 mai 2008
14 mai 2008 à 23:32
14 mai 2008 à 23:32
j'ai perdu patience et je suis allez dans le magasin d'informatique et 3heures plus tard + 45euros c'est réparé.
en bref voilà ce qu'il m'a dit : j'ai panda antivirus et il n'a rien utilisé d'autres! il a lancé le pc en mode sans échec et a lancé panda qui a tout réglé après un long scan.
j'ai craqué du fric pour rien mais je suis une buse en informatique et j'ai besoin de mon pc pour bosser donc il me fallait une solution rapide et non pas pleins de tatonement via les forums...
merci à tous quand meme et bon courage à ceux qui ont encore des problèmes!
en bref voilà ce qu'il m'a dit : j'ai panda antivirus et il n'a rien utilisé d'autres! il a lancé le pc en mode sans échec et a lancé panda qui a tout réglé après un long scan.
j'ai craqué du fric pour rien mais je suis une buse en informatique et j'ai besoin de mon pc pour bosser donc il me fallait une solution rapide et non pas pleins de tatonement via les forums...
merci à tous quand meme et bon courage à ceux qui ont encore des problèmes!
9 mai 2008 à 14:46
mais le problème est pas là. comment m'en débarassé??? panda me dit qu'il désinfecte le fichier ftp34.dll (qui se crée au démarage???).