Hikack Impossible ANTIVIRUS impossible....

Tonio -  
 Utilisateur anonyme -
Salut tous le monde ;
A mon retour de vacance mon ordinateur ne fonctionnait plus comme avant, la connexion était lente et saturée le processeur de l'ordinateur --> plantage à répétition.
J'ai donc tout réinstalé sous XP SP1. Depuis ma réinstalation rien à changé!!! et des choses nouvelles sont apparues.
Il m'est impossible de lancer l'application
* Hijack This
* L'exécutable de Norton System
* Ctrl+Alt+Suppr ne donne rien, aucun affichage du gestionnaire
* le scan de virus en ligne fait planter l'ordi

J'ai tous réinstalé en mettant Norton en premier et sans me connecter. La première chose que j'ai faite étant la live Update. J'utilise le boitier Sagem 800, j'ai lu qu'il y avait des problèmes de virus avec, mais je n'ai trouvé aucune solution et surtout aucune confirmation officielle du virus.
Donc voilà, je coule en ce moment, j'ai pas de boué, je sais nager mais comme un caillou et l'eau est à 10°C...........Vous pouvez m'aider????? oh oui oh oui oh oui

37 réponses

  • 1
  • 2
Résumé de la discussion

Le fil expose des ralentissements et des plantages après réinstallation sous Windows XP SP1, avec une connexion lente, un processeur saturé et HijackThis inopérant initialement.
Des solutions évoquées incluent le mode sans échec, la détection et la suppression de virus par Norton, et l’analyse des rapports HijackThis et RAV pour cibler les éléments malveillants.
Les rapports montrent des infections variées (Korgo.S worm, KillReg.D Trojan, ethernet32m.exe et d’autres démons), avec des modifications de pages et des extensions actives par Norton et Google Toolbar.
En cas de doute, certains évoquent une origine potentielle liée aux pilotes Sagem Fast 800 et envisagent des vérifications approfondies, notamment une révision des périphériques et un clear CMOS.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. tonio
     
    rapport
    Taches effectués sur le PC :

    Elément(s) supprimé(s) :
    Fichier C:\WINDOWS\*.tmp supprimé (Fichiers Temporaire, peut cacher des virus)
    Fichier C:\WINDOWS\System32\iexplore*.exe supprimé (Virus Agobot/Gaobot) :
    iexplorer.exe
    Fichier C:\WINDOWS\System32\msn*mgr.exe supprimé (Virus Agobot/Gaobot) :
    wuamgrd.exe
    Fichier C:\WINDOWS\System32\wuamgrd*.exe supprimé (Virus Agobot/Gaobot)

    Fichier(s) avec demande de suppression manuelle :
    C:\WINDOWS\System\
    WOWPOST.EXE
    C:\WINDOWS\System32\Wins\
    Recherche du fichier wkspatch*.exe

    Correctif Microsoft KB824146 n'est pas installé
    Correctif Microsoft KB835732 n'est pas installé
    0
  2. Terdef Messages postés 1034 Statut Contributeur sécurité 133
     
    Bonjour,

    Si tu peux me lire c'est que tu ne t'es pas encore suicidé à l'eau froide. Fais une tentative (juste une tentative, hein), au pur Single Malt des Highlands, c'est plus "smart".

    Il semble que tu sois victime d'un truc qui empêche d'accéder aux utilitaires de sécurité et, peut être, aux sites de sécurité.

    C'est donc un hijack.

    Tu vas suivre La Manip, pas à pas et dans l'ordre. Si jamais tu n'arrives absolument pas à télécharger les utilitaires préconisés (tous gratuits), nous ferons en sorte de te les faire trouver sur un site non attaqué par ce hijack.

    Sans de plus amples renseignements, ton cas pourait être résolu par la première étape de La Manip (mais toutes les autres a faire sans exeption) :

    Extrait de l'étape 1 de La Manip

    "Négocier le cas CWS.Smartkiller
    S'assurer qu'il n'y a pas une malveillance, connue sous le nom de CWS.Smartkiller, qui empêche l'utilisation de programmes de sécurité et qui bloque l'accès à plusieurs sites de sécurité. C'est une variante (CoolWWWSearch.SmartKiller (v1 et v2) - janvier 2004) de la famille de malveillances CoolWebSearch qui ferme plusieurs anti-spywares et anti-trojan automatiquement chaque fois que vous les ouvrez et qui ferme même les fenêtres de votre navigateur lorsque vous vous rendez sur les sites de ces anti-spywares et anti-trojans."

    La Manip (procédure curative et préventive gratuite contre une majorité d'attaques)
    http://assiste.com/manip.html

    Firewall
    http://assiste.com/p/frameset/firewall.php

    Antivirus gratuits
    http://assiste.com/p/frameset/06_02.php

    Antivirus en ligne
    http://assiste.com/p/frameset/03_01.php

    Anti-trojans en ligne
    http://assiste.com/p/frameset/03_06.php

    Tests de pénétration en ligne
    http://assiste.com/p/frameset/02_08.php

    La solution 100% anti-spam
    http://assiste.com/p/frameset/06_mailinblack.php

    Pierre (aka Terdef)
    0
  3. tonio
     
    Cimer Terdef avant que tu me répondes j'ai galéré au plus profond de monb ordi cherchant des solurions par vents et marrés et à force de réfléchir on devient CON (pardon d'être vulgaire). Alors je me dis que je suis CON de me triturer la tête!!!!Je suis passé en mode sans échec et j'ai pu lancer Norton qui a détecté 3 virus dont 1 qu'il n'est pas capable de réparer qui est en quarantaine et là je viens de le regarder pour te le copier et te l'envoyer et Norton fait une MAJ de sa mémoire quarantaine et le vire. LE TOP
    Voici le rapport Hijack après SCAN Norton :
    Logfile of HijackThis v1.97.7
    Scan saved at 22:32:52, on 17/07/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
    C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
    C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
    C:\Program Files\Creative\SBLive2k\AudioHQ\AHQTB.EXE
    C:\Program Files\Creative\SBLive2k\Launcher\CTLauncher.exe
    C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\devldr32.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe
    C:\WINDOWS\System32\vmware.exe
    C:\Documents and Settings\Antoine\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
    O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive2k\AudioHQ\AHQTB.EXE
    O4 - HKLM\..\Run: [Creative Launcher] C:\Program Files\Creative\SBLive2k\Launcher\CTLauncher.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\System32\msconfig.exe /auto
    O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
    O4 - HKLM\..\Run: [Microsoft Update] vmware.exe
    O4 - HKLM\..\RunServices: [Microsoft--Updates] sxvhost.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] vmware.exe
    O4 - HKLM\..\RunServices: [WindowsRegKey%update] ethernet32m.exe
    O4 - HKLM\..\RunServices: [MSN Messenger] luemmqe.exe
    O4 - HKLM\..\RunServices: [EnableDCOM] N
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\RunServices: [MSN Messenger] luemmqe.exe
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
    O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38185.1371759259
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    Bon je vais faire un scan en ligne, ma connexion à l'air d'aller mieux, j'accède au MSCONFIG pour enlever les éléments retardant mon démarrage et là y en avait une tonne.
    Vue que c'est la deuxième fois que ça m'arrives après un format, je me demande si l'instalation des pilotes SAGEM Fast 800 n'est pas vérolée??????????c'est à chaque fois à ce moment que le problème de virus apparaît GRRRRRRRRRRRRR OHHHHHH les FAI faudrait penser à checker vos machines ou c'est vous qui aller vous retrouvez dans l'eau froide, sans boué,......et moi pour vous taper à coup de rame LOL
    0
  4. tonio
     
    PS : je m'y connais pas trop dans le HIJACK je vais essayé de lire le tuto et si quelqu'un peut juste checker mon rapport pour être sûre!!!!
    MERKI
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    Salut relance hijack coche et fix ces lignes

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    O4 - HKLM\..\RunServices: [Microsoft--Updates] sxvhost.exe

    J ai un doute pour celle ci mais ne les touche pas pour l instant

    O4 - HKLM\..\RunServices: [Microsoft Update] vmware.exe
    O4 - HKLM\..\RunServices: [MSN Messenger] luemmqe.exe
    et fait scan ici si tu peut pour voir
    Faite scan en ligne et coller le rapport ici sur le post
    utiliser l'antivirus en ligne suivant :
    http://www.ravantivirus.com/scan/
    Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

    Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
    A la fin de l'analyse, copier/coller le rapport ici.

    --------------------
    mes vrai passion la chasse et le balltrap
    0
  7. tonio
     
    J'ai essayé de fixer mais je ne retrouve plus les lignes que tu cites, voici mes derniers rapport hi jack et RAV ANtivirus :
    Logfile of HijackThis v1.97.7
    Scan saved at 10:04:30, on 18/07/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
    C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
    C:\Program Files\Creative\SBLive2k\AudioHQ\AHQTB.EXE
    C:\WINDOWS\System32\devldr32.exe
    C:\Program Files\Creative\SBLive2k\Launcher\CTLauncher.exe
    C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
    C:\WINDOWS\System32\devldr32.exe
    C:\WINDOWS\System32\ms32cfg.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\ftp.exe
    C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe
    C:\Program Files\Norton SystemWorks\Norton Utilities\NDD32.EXE
    C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Messenger\msmsgs.exe
    C:\Documents and Settings\Antoine\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
    O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive2k\AudioHQ\AHQTB.EXE
    O4 - HKLM\..\Run: [Creative Launcher] C:\Program Files\Creative\SBLive2k\Launcher\CTLauncher.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\System32\msconfig.exe /auto
    O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [Microsoft Features] ms32cfg.exe
    O4 - HKLM\..\RunServices: [Microsoft Features] ms32cfg.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
    O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38185.1371759259
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    et le Rapport RAV qui détecte 3 virus :

    Scan started at 18/07/2004 09:30:37

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\RECYCLER\S-1-5-21-790525478-842925246-854245398-500\Dc1.exe - Trojan:Win32/KillReg.D -> Infected
    C:\WINDOWS\system32\ftpupd.exe - Win32/Korgo.S.worm -> Infected
    C:\WINDOWS\system32\yafyk.exe - Win32/Korgo.S.worm -> Infected
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ZCJTOV89\x[2].exe - Win32/Korgo.S.worm -> Infected

    Scanned
    ============================
    Objects: 14633
    Directories: 1180
    Archives: 459
    Size(Kb): 1165505
    Infected files: 4

    Found
    ============================
    Viruses found: 2
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 33
    0
  8. Utilisateur anonyme
     
    B'jour
    désolée mais ton Hijack n'est pas à jour : Logfile of HijackThis v1.97.7 tu devrais avoir la version--> Logfile of HijackThis v1.98.0

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
    1. tonio
       
      Vla le rapport avec la nouvelle version :
      Logfile of HijackThis v1.98.0
      Scan saved at 11:14:23, on 18/07/2004
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
      C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
      C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
      C:\WINDOWS\System32\nvsvc32.exe
      C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
      C:\Program Files\Creative\SBLive2k\AudioHQ\AHQTB.EXE
      C:\WINDOWS\System32\devldr32.exe
      C:\Program Files\Creative\SBLive2k\Launcher\CTLauncher.exe
      C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
      C:\WINDOWS\System32\devldr32.exe
      C:\WINDOWS\system32\cmd.exe
      C:\WINDOWS\system32\ftp.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\WINDOWS\System32\ms32cfg.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Documents and Settings\Antoine\Local Settings\Temporary Internet Files\Content.IE5\9LT25H8E\HijackThis[1].exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
      O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
      O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive2k\AudioHQ\AHQTB.EXE
      O4 - HKLM\..\Run: [Creative Launcher] C:\Program Files\Creative\SBLive2k\Launcher\CTLauncher.exe
      O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\System32\msconfig.exe /auto
      O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [Microsoft Features] ms32cfg.exe
      O4 - HKLM\..\RunServices: [Microsoft Features] ms32cfg.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
      O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
      O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
      O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
      O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Bkmilf32.dll
      0
  9. tonio
     
    voici mon dernier scan sur le net :
    Scan started at 18/07/2004 13:13:13

    Scanning memory...
    Scanning boot sectors...
    Scanning files...

    Scanned
    ============================
    Objects: 13755
    Directories: 1218
    Archives: 372
    Size(Kb): 961455
    Infected files: 0

    Found
    ============================
    Viruses found: 0
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 30

    Cependant le problème reste le même : connexion saturée, lancement des logiciels de protection comme Norton impossible, Ctrl Alt Suppr Impossible de même pr MSCONFIG ds exécuter et HIJACK
    Bouhou la douleur dans mon coeur
    0
  10. tonio
     
    J'ai essayé de lancer un antivirus sur Secuser mais je n'y arrive pas sur ce site!!!
    0
  11. tonio
     
    Scan started at 18/07/2004 19:11:13

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Documents and Settings\Antoine\Local Settings\Application Data\Identities\{A3A3C3ED-DE76-496F-A828-2138FABBE310}\Microsoft\Outlook Express\Éléments supprimés.dbx->Message.0: (mpreux@aol.com [Re: Your text])->(part0002:your_text.pif) - Win32/Netsky.D@mm -> Infected

    Scanned
    ============================
    Objects: 13802
    Directories: 1348
    Archives: 542
    Size(Kb): 1845789
    Dernier Scan avec RAV Antivirus en ligne :
    Infected files: 1

    Found
    ============================
    Viruses found: 1
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 53
    0
  12. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut to,io fait ceci en mode sans echec
    alors action numero 1
    telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser

    ftp://www.renonce.com/pub/renonce/Rimouveur.exe

    Action numero 2 :o)
    Demarrer en mode sans echec :
    tapotter sur la touche F8 sans arret desque tu allume ton PC
    et si ca ne marche pas utiliser la touche f5 a la place
    Appliquer le fichier dans le mode sans echec
    le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus

    Action numero 3
    copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc

    --------------------
    mes vrai passion la chasse et le balltrap
    0
  13. tonio
     
    Merci baltrap mas le probleme c'est aggravé, ma connexion a sauté, ems ports usb ne sont plus reconnu, donc plus de modem donc plus de connexion et surtout aucune données transférables sur l'ordinateur.
    J'essaye de scanenr mon disque on verra bien. Pour le rimouveur je vais devoir attendre de pouvoir rétablir ma connexion là j'ai lancé a² qui m'a trouvé, pr l'instant 1 Malware (toujours le même, spécifique au Sagem : autoclk.exxe ou Trojan.Win32KILLreg.d)
    Ca devient chaud du boudin sur mon ordi, je crois que je vais le jeter pa la fenêtre.
    Y st fort ces $*ù§§§§@@@@#### de hackers mais bon je leur ai rien fait moi!!!!!! c'est quand même des petites couilles mais bon c'est leur plaisir FRUSTRE de qqch??????
    0
  14. tonio
     
    MDR je passe en mode sans echec et là y a une instalation des ports USB qui se met en route!!!!! tin ça devient n'importe na wak
    0
  15. tonio
     
    Bon l'usb refonctionne voici mon hijack :

    Logfile of HijackThis v1.97.7
    Scan saved at 11:57:16, on 19/07/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\devldr32.exe
    C:\Documents and Settings\Antoine\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
    O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive2k\AudioHQ\AHQTB.EXE
    O4 - HKLM\..\Run: [autoclk] autoclk.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\RunServices: [MSN Messenger] zlpotpe.exe
    O4 - HKLM\..\RunServices: [EnableDCOM] N
    O4 - HKLM\..\RunServices: [Microsoft Features] ms32cfg.exe
    O4 - HKLM\..\RunServices: [System Security Updaters] vsmons.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
    O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
    O4 - HKCU\..\RunServices: [MSN Messenger] zlpotpe.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
    O9 - Extra button: Recherche (HKLM)
    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
    O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38185.1371759259
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    0
  16. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re
    si tu peut fait ce que j ai mis au n°15

    la chasse et la balltrap ma vrai passion
    voir site perso dans profil
    0
  17. tonio
     
    On peut le transférer le rimouveur ou il faut obligatoirement le lancer et le dl sur la machine???? bon bensinon je rééinstal tt
    0
  18. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    si je me souvien tu peut le transferer

    la chasse et la balltrap ma vrai passion
    voir site perso dans profil
    0
  • 1
  • 2