Backdoor agent b.a
eric
-
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
bonjour a tous !
j ai chopé ce virus: trojant horse backdoor agent b.a
il est logé dans windows/systeme32/wincdkp/dll
mon anti virus AVG6.0 le repere mais ne l enleve pas!
j ai essaye plusieurs solution lu sur ce forum : anti trojant, spybot,
demarrage sans echec, cleaner... mais rien a faire !
virus toujours la !
si quelqu' un peut m aider ! par avance MERCI ! car je rame depuis 4 jours! dans l attente de conseils salut !
j ai chopé ce virus: trojant horse backdoor agent b.a
il est logé dans windows/systeme32/wincdkp/dll
mon anti virus AVG6.0 le repere mais ne l enleve pas!
j ai essaye plusieurs solution lu sur ce forum : anti trojant, spybot,
demarrage sans echec, cleaner... mais rien a faire !
virus toujours la !
si quelqu' un peut m aider ! par avance MERCI ! car je rame depuis 4 jours! dans l attente de conseils salut !
A voir également:
- Backdoor agent b.a
- Agent ransack - Télécharger - Divers Utilitaires
- Faut il activer l'agent web - Forum Antivirus
- Agent quick share ✓ - Forum Virus
- Trojan agent ✓ - Forum Virus
- Quick Start : qu'est-ce que c'est ? ✓ - Forum Virus
43 réponses
salut pour le suprime tu doit desactiver la restauration comme ceci
clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique et tu redemarre
@+++
clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique et tu redemarre
@+++
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
20/07/2004
13:47
System Info:
Microsoft Windows XP [version 5.1.2600]
C: "System" (CE51:007F) - FS:NTFS clusters:4k
Total: 18 877 014 016 [18G] - Free: 10 695 524 352 [10G]
*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
8.0.0.4487 C:\Program Files\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q837009;Q831167;Q832894;Q823353;
Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
\\?\C:\WINDOWS\System32\D3DNHAK.DLL +++ File read error
\\?\C:\WINDOWS\System32\D3DNHAK.DLL +++ File read error
Scanning for main Hijacker:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\System32\\d3dnhak.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
REGEDIT4
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ C:\WINDOWS\System32\d3dnhak.dll
*Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM
Voila, c'est ca ?
Là je plane!!!
Yann
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
20/07/2004
13:47
System Info:
Microsoft Windows XP [version 5.1.2600]
C: "System" (CE51:007F) - FS:NTFS clusters:4k
Total: 18 877 014 016 [18G] - Free: 10 695 524 352 [10G]
*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
8.0.0.4487 C:\Program Files\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q837009;Q831167;Q832894;Q823353;
Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
\\?\C:\WINDOWS\System32\D3DNHAK.DLL +++ File read error
\\?\C:\WINDOWS\System32\D3DNHAK.DLL +++ File read error
Scanning for main Hijacker:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\System32\\d3dnhak.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
REGEDIT4
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ C:\WINDOWS\System32\d3dnhak.dll
*Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM
Voila, c'est ca ?
Là je plane!!!
Yann
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
-Relance "dllfix.exe" du début. Cette fois-ci option "2 : run fix"
Sous menu "1- Enter dll name..."
Tu rentres le nom : C:\WINDOWS\System32\D3DNHAK.DLL
Touche entrée.
-Il va la chercher et la supprimer après un redémarrage.
-Passer CoolWebSchredder : ->Fix.
-Passer AdAware et supprimer tout ce qu'il trouvera.
(Passer CWS et AdAware impérativement, même si ça a été fait avant!)
voici les lien des 2 log a telecharger avant
CWShredder
http://www.spywareinfo.com/~merijn/downloads.html
il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next
-----------------------------
http://www.ordi-netfr.org/tutorialadaware.html
la chasse et la balltrap ma vrai passion
voir site perso dans profil
Sous menu "1- Enter dll name..."
Tu rentres le nom : C:\WINDOWS\System32\D3DNHAK.DLL
Touche entrée.
-Il va la chercher et la supprimer après un redémarrage.
-Passer CoolWebSchredder : ->Fix.
-Passer AdAware et supprimer tout ce qu'il trouvera.
(Passer CWS et AdAware impérativement, même si ça a été fait avant!)
voici les lien des 2 log a telecharger avant
CWShredder
http://www.spywareinfo.com/~merijn/downloads.html
il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next
-----------------------------
http://www.ordi-netfr.org/tutorialadaware.html
la chasse et la balltrap ma vrai passion
voir site perso dans profil
de rien
a++
la chasse et la balltrap ma vrai passion
voir site perso dans profil
a++
la chasse et la balltrap ma vrai passion
voir site perso dans profil
Salut a toi Balltrap34 !
Et merci pour ton aide grace a tes precieux conseils j ai pu me debarrasser du troyen backdoor agent b.a qui s'etait loge dans C\WINDOWS\SYSTEM32\D3DBGIL.DLL depuis une quinzaine de jours et apres avoir essaye plusieurs antivirus differents et autres fix qui se sont tous reveles inefficaces je m etais resigne a formater jusqu a ce soir où je suis tombe sur ce forum et essaye cette ultime tentative qui s est revelee efficace a 500/100 !
Merci et BRAVO !!!
Et merci pour ton aide grace a tes precieux conseils j ai pu me debarrasser du troyen backdoor agent b.a qui s'etait loge dans C\WINDOWS\SYSTEM32\D3DBGIL.DLL depuis une quinzaine de jours et apres avoir essaye plusieurs antivirus differents et autres fix qui se sont tous reveles inefficaces je m etais resigne a formater jusqu a ce soir où je suis tombe sur ce forum et essaye cette ultime tentative qui s est revelee efficace a 500/100 !
Merci et BRAVO !!!
merci et de rien
il devienne de plus en plus dur a virer
a++
la chasse et le balltrap ma vrai passion
voir site perso dans profil
il devienne de plus en plus dur a virer
a++
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Bonjour,
J'ai le même virus sur mon PC 5windows XP comme systeme d'exploitation).
Chez moi il s'agit du fichier: C:\Windows\system32\sqlpm.dll
J'ai essayé de le supprimer en suivant vos consseils sur ce forum (fixdll en mode manuel et fix all aussi).
Il y a du avoir une erreeur quelque part car si voici le message que je recoit: le systeme n'a pas pu trouver la clé ou la valeur de Registre spécifié.
La chose la plus bizarre c'est que je ne trouve plus ce sqlpm.dll par contre mon antivirus (AVG) me dit encore que ce fichier est infecté.
Help, please..... car je suis désespérée.
Merci.
Alina
J'ai le même virus sur mon PC 5windows XP comme systeme d'exploitation).
Chez moi il s'agit du fichier: C:\Windows\system32\sqlpm.dll
J'ai essayé de le supprimer en suivant vos consseils sur ce forum (fixdll en mode manuel et fix all aussi).
Il y a du avoir une erreeur quelque part car si voici le message que je recoit: le systeme n'a pas pu trouver la clé ou la valeur de Registre spécifié.
La chose la plus bizarre c'est que je ne trouve plus ce sqlpm.dll par contre mon antivirus (AVG) me dit encore que ce fichier est infecté.
Help, please..... car je suis désespérée.
Merci.
Alina
salut
maintenant demarre en mode sans echec et lance ton anti virus
la chasse et le balltrap ma vrai passion
voir site perso dans profil
maintenant demarre en mode sans echec et lance ton anti virus
la chasse et le balltrap ma vrai passion
voir site perso dans profil
salut a tous je suis comme les autres avec ce vers qui veut pas partir !
jai tjrs le message de norton qui me dit quil est tjrs la c systeme 32 msapae.dll et jai essaye le mode sans echeque , certain fix les antivirus en ligne ( 4 ) , panda et norton les trouvent mais c tjrs pareil !
un gros conseil svp ???
jai tjrs le message de norton qui me dit quil est tjrs la c systeme 32 msapae.dll et jai essaye le mode sans echeque , certain fix les antivirus en ligne ( 4 ) , panda et norton les trouvent mais c tjrs pareil !
un gros conseil svp ???
salut
regarder dans la base de registre si vous la trouver ici
Démarrer->exécuter-> taper regedit
Naviguez à : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Surlignez Windows dans le panneau de gauche.
Cherchez dans le panneau droit : AppInit_Dlls puis votre dll(ex msapae.dll )
si oui supprimer la
ensuite allez dans c: windows/systeme32/(ex msapae.dll ) et supprimer
la chasse et le balltrap ma vrai passion
voir site perso dans profil
regarder dans la base de registre si vous la trouver ici
Démarrer->exécuter-> taper regedit
Naviguez à : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Surlignez Windows dans le panneau de gauche.
Cherchez dans le panneau droit : AppInit_Dlls puis votre dll(ex msapae.dll )
si oui supprimer la
ensuite allez dans c: windows/systeme32/(ex msapae.dll ) et supprimer
la chasse et le balltrap ma vrai passion
voir site perso dans profil
salut baltrap , merci mais ca va po il veut po se supprimer de c system 32 !! ( par contre je le supprime bien de la cle de registre ! )
mais biensur il s y retrouve qand je la reouvre car tjrs sur C !
une autre solution plz ?
merci d avance pour votre aide ...
mais biensur il s y retrouve qand je la reouvre car tjrs sur C !
une autre solution plz ?
merci d avance pour votre aide ...
re
vire la a noyveau du registre et essaie de la suppr avecla kill box
Télécharge "TheKillBox" sur :
http://download.broadbandmedic.com/
Pose-le sur ton bureau. Lance-le.
Dans "Paste full path of file.." ->copie/colle:
Décoche "Create backup.."
Clique "Kill File".
Redémarre.
avant de redemarre reverifie dans la base de registre et vire si besoin
la chasse et le balltrap ma vrai passion
voir site perso dans profil
vire la a noyveau du registre et essaie de la suppr avecla kill box
Télécharge "TheKillBox" sur :
http://download.broadbandmedic.com/
Pose-le sur ton bureau. Lance-le.
Dans "Paste full path of file.." ->copie/colle:
Décoche "Create backup.."
Clique "Kill File".
Redémarre.
avant de redemarre reverifie dans la base de registre et vire si besoin
la chasse et le balltrap ma vrai passion
voir site perso dans profil
salut , ca marche tjrs po !
jai bien mis le nom du chemin du fichier.
mais je ne trouve pas '' Décoche "Create backup.." ! ??? ce nest ps ecrit ca !
jai en choix de cochage / decochage ...
stadanrd fil kill ( de coche et c tout )
non coche c est ...
delete on reboot
replace on reboot
end explorer shell while killing file
les 2 autres case sont grise.
et en bas a droite c'est ecrit (system process)
donc comment faire ?
il veut po partir ! je lai supprime de la base de registre ( mais il y revient ensuite ) et rien a faire pour C WIND systeme32 msapae.dll !!!
et biensur tjrs le pave de norton en plein milieu du bureau !
ya til autre chose a faire ?
merci d avance ..
jai bien mis le nom du chemin du fichier.
mais je ne trouve pas '' Décoche "Create backup.." ! ??? ce nest ps ecrit ca !
jai en choix de cochage / decochage ...
stadanrd fil kill ( de coche et c tout )
non coche c est ...
delete on reboot
replace on reboot
end explorer shell while killing file
les 2 autres case sont grise.
et en bas a droite c'est ecrit (system process)
donc comment faire ?
il veut po partir ! je lai supprime de la base de registre ( mais il y revient ensuite ) et rien a faire pour C WIND systeme32 msapae.dll !!!
et biensur tjrs le pave de norton en plein milieu du bureau !
ya til autre chose a faire ?
merci d avance ..
re , jai utilise 2 kill different de meme nom donc le 2 eme jai fait comme indique , donc pareil rien a faire !
mais la jai desactiver norton en + et je nai plus le dll dans c sys 32 mais jai tjrs le pave de norton !
jai aussi virer la cles de registre !
bon je redemarre pour voir !
mais la jai desactiver norton en + et je nai plus le dll dans c sys 32 mais jai tjrs le pave de norton !
jai aussi virer la cles de registre !
bon je redemarre pour voir !
Salu a tous
Jai un enorme prb !!! jai un virus detecté par norton mai impossible de le supprimé. Son nom c " Backdoor.Agent.b " mai hier mon virus etai " Backdoor.trojan " .
Aidez moi ke faire ???? il es localisé dan C:\windows\system32\D3DA.DLL
Aidez moi je vou en suppli !!! Merci d'avance !!!
Jai un enorme prb !!! jai un virus detecté par norton mai impossible de le supprimé. Son nom c " Backdoor.Agent.b " mai hier mon virus etai " Backdoor.trojan " .
Aidez moi ke faire ???? il es localisé dan C:\windows\system32\D3DA.DLL
Aidez moi je vou en suppli !!! Merci d'avance !!!
salut moi pareil mais c le meme mais po le meme dll ! c bizare on pourrait m expliquer pkoi ?
sinon pour le tiens essaye ce qui est ecrit o dessus on sait jamais ca marchera peut etre pour toi ! relis tout depuis le haut !
moi perso jai tout lu et rien ne marche mais bon ta po le meme dll que moi donc tente ta chance .....
sinon jattends un reponses aussi pour mon cas si possible ( jai tjrs le pave et le dll dans c sys32 !! ) merci .... dll msapae.dll
sinon pour le tiens essaye ce qui est ecrit o dessus on sait jamais ca marchera peut etre pour toi ! relis tout depuis le haut !
moi perso jai tout lu et rien ne marche mais bon ta po le meme dll que moi donc tente ta chance .....
sinon jattends un reponses aussi pour mon cas si possible ( jai tjrs le pave et le dll dans c sys32 !! ) merci .... dll msapae.dll
Salut !!!
dis-moi balltrap, tu as l'air d'être le sauveur, alors esske tu pourrais un sauver un de plus s'il-te-plaît ??? (moi)
je suis hantée par un backdoor.agent.b ! pareil que les autres, tous les antivirus et les scans n'ont rien donné, il revient toujours dans l'alerte de nav...
j'ai fait ce que tu as dit en 13 et voilà le copié-collé de "Output.txt" ... merci de me dire ce qui va pas, ça serait cool !
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
28/07/2004
14:34
System Info:
Microsoft Windows XP [version 5.1.2600]
C: "PRESARIO" (8067:CB2F) - FS:NTFS clusters:4k
Total: 78 080 159 744 [73G] - Free: 71 987 884 032 [67G]
*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
8.0.0.4490 C:\Program Files\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q818529;Q330994;Q822925;Q828750;Q824145;Q832894;Q837009;Q831167;Q823353;
Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
\\?\C:\WINDOWS\SYSTEM32\D3DHAHH.DLL +++ File read error
\\?\C:\WINDOWS\System32\D3DHAHH.DLL +++ File read error
Scanning for main Hijacker:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{021BB032-80A8-4FB6-B3D5-CF27B1553B95}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0421701D-CF13-4E70-ADF0-45A953E7CB8B}]
@="Recommended Hotfix"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{96DA5BEE-4ACC-476C-B3EC-54C6730C4293}]
@="CSBrBHO"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E94996E0-0D13-4CC6-84EF-67B987B0D40A}]
REGEDIT4
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{4AED7CDB-9788-4398-9B71-911B63E420DF}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{4AED7CDB-9788-4398-9B71-911B63E420DF}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
*Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Can't open Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
2 - Le fichier sp‚cifi‚ est introuvable.
dis-moi balltrap, tu as l'air d'être le sauveur, alors esske tu pourrais un sauver un de plus s'il-te-plaît ??? (moi)
je suis hantée par un backdoor.agent.b ! pareil que les autres, tous les antivirus et les scans n'ont rien donné, il revient toujours dans l'alerte de nav...
j'ai fait ce que tu as dit en 13 et voilà le copié-collé de "Output.txt" ... merci de me dire ce qui va pas, ça serait cool !
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
28/07/2004
14:34
System Info:
Microsoft Windows XP [version 5.1.2600]
C: "PRESARIO" (8067:CB2F) - FS:NTFS clusters:4k
Total: 78 080 159 744 [73G] - Free: 71 987 884 032 [67G]
*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
8.0.0.4490 C:\Program Files\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q818529;Q330994;Q822925;Q828750;Q824145;Q832894;Q837009;Q831167;Q823353;
Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
\\?\C:\WINDOWS\SYSTEM32\D3DHAHH.DLL +++ File read error
\\?\C:\WINDOWS\System32\D3DHAHH.DLL +++ File read error
Scanning for main Hijacker:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{021BB032-80A8-4FB6-B3D5-CF27B1553B95}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0421701D-CF13-4E70-ADF0-45A953E7CB8B}]
@="Recommended Hotfix"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{96DA5BEE-4ACC-476C-B3EC-54C6730C4293}]
@="CSBrBHO"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E94996E0-0D13-4CC6-84EF-67B987B0D40A}]
REGEDIT4
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{4AED7CDB-9788-4398-9B71-911B63E420DF}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{4AED7CDB-9788-4398-9B71-911B63E420DF}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
*Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Can't open Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
2 - Le fichier sp‚cifi‚ est introuvable.
Bonsoir, je fais un copier colle d un post que j ai fait dans une autre forum.
dites moi si ca marche chez vous
Toto113
________________
Bonsoir,
comme beaucoup de personne je me suis coltine ce parasite de backdoor de malheur pendant des semaines puis j ai trouve comment l enlever alors de ce fait je vais vous expliqer comment .
Il faut utiliser un programme nomme dllfix
il faut donc l installer mettre un raccourci sur le bureau du fichier start.exe.
Donc cliquer sur START choisir l option 1 et laisser mouliner la bete. Si tout ce passe bien, il va trouver un ou des fichier dll, marque error, bien noter ce fichier.
Recliquer sur le raccourci de start et choisir l'option 2, suivre les indications notees , le pc va rebooter et va faire tourner une 2iem routine avant le demarrage complet de windows.
Des que c est fini, une fenetre de log s'ouvre avec les resultats de toutes le sequences.
Faire un coup d antivirus et si tout ce passe bien la DLL de la mort a disparu.
Dites moi si ca fonctionne pour vous.
Bon nettoyage, a bientot
Toto113
dites moi si ca marche chez vous
Toto113
________________
Bonsoir,
comme beaucoup de personne je me suis coltine ce parasite de backdoor de malheur pendant des semaines puis j ai trouve comment l enlever alors de ce fait je vais vous expliqer comment .
Il faut utiliser un programme nomme dllfix
il faut donc l installer mettre un raccourci sur le bureau du fichier start.exe.
Donc cliquer sur START choisir l option 1 et laisser mouliner la bete. Si tout ce passe bien, il va trouver un ou des fichier dll, marque error, bien noter ce fichier.
Recliquer sur le raccourci de start et choisir l'option 2, suivre les indications notees , le pc va rebooter et va faire tourner une 2iem routine avant le demarrage complet de windows.
Des que c est fini, une fenetre de log s'ouvre avec les resultats de toutes le sequences.
Faire un coup d antivirus et si tout ce passe bien la DLL de la mort a disparu.
Dites moi si ca fonctionne pour vous.
Bon nettoyage, a bientot
Toto113
