Hijackthis c'est pas de la tarte !
jbeauvery
Messages postés
10
Statut
Membre
-
Badger Messages postés 591 Statut Contributeur -
Badger Messages postés 591 Statut Contributeur -
Bonjour,
Je suis pas pro de l'informatique et j'ai des trucs bisards qui apparaissent. Merci de m'aider.
Alors voilà, à l'ouverture de ma session, une fenetre web s'affiche automatiquement. Cette meme fenetre apparait à interval régulier toutes les 10min, meme si je suis déconnecté. En plus cette fenetre ouvre systematiquement une autre fenetre qui est un site X (et ca m'enchante pas).
Par ailleurs j'ai détecté un virus que j'arrive pas à enlever : worm agobot 26A.
Enfin, j'ai un rapport hijackthis que j'arrive pas à déchiffrer. Que dois je faire?
Logfile of HijackThis v1.97.7
Scan saved at 22:09:45, on 19/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\system32\cvpss.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\wssvrs.exe
C:\Program Files\Winamp3\winampa.exe
C:\windows\erxs.exe
C:\WINDOWS\System32\winsyst32.exe
C:\WINDOWS\System32\sxvhost.exe
C:\Program Files\Nikon\NkView5\NkvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Club-Internet\Lanceur.exe
C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
C:\WINDOWS\System32\WIN32SNC.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\messenger.exe
C:\PROGRA~1\Grisoft\AVG6\avgw.exe
C:\Documents and Settings\beauvery\Mes documents\programmes téléchargés\spyware\hijack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/040C/bF8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=040c&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=040c&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=040c&s=search&ap=b204
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.club-internet.fr/
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program Files\TV Media\TvmBho.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0BF83308-D853-3EA7-D05A-65557BD57D42} - C:\WINDOWS\System32\ujbq.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKLM\..\Run: [LAN Driver] landriver32.exe
O4 - HKLM\..\Run: [Microsoft Update] wssvrs.exe
O4 - HKLM\..\Run: [Microsoft Updater] winsys32.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Msn Messenger Service] messenger.exe
O4 - HKLM\..\Run: [DPA] c:\windows\erxs.exe
O4 - HKLM\..\Run: [Microsoft IT Update] winsyst32.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] lmrss.exe
O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\RunServices: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKLM\..\RunServices: [LAN Driver] landriver32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wssvrs.exe
O4 - HKLM\..\RunServices: [Microsoft Updater] winsys32.exe
O4 - HKLM\..\RunServices: [Msn Messenger Service] messenger.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] winsyst32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] lmrss.exe
O4 - HKLM\..\RunServices: [Microsoft--Updates] sxvhost.exe
O4 - HKCU\..\Run: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKCU\..\Run: [Msn Messenger Service] messenger.exe
O4 - HKLM\..\RunOnce: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - HKCU\..\RunOnce: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Sites Perso (HKLM)
O9 - Extra 'Tools' menuitem: Compaq France (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.napster.com/client/isetup.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0291C2AE-362A-43B3-BA8C-E17B3F7F37C8}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{622C4432-7FB6-4C63-BCA9-9A5F777A40EB}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{0291C2AE-362A-43B3-BA8C-E17B3F7F37C8}: NameServer = 194.117.200.10 194.117.200.15
Aidez moi je craque
Je suis pas pro de l'informatique et j'ai des trucs bisards qui apparaissent. Merci de m'aider.
Alors voilà, à l'ouverture de ma session, une fenetre web s'affiche automatiquement. Cette meme fenetre apparait à interval régulier toutes les 10min, meme si je suis déconnecté. En plus cette fenetre ouvre systematiquement une autre fenetre qui est un site X (et ca m'enchante pas).
Par ailleurs j'ai détecté un virus que j'arrive pas à enlever : worm agobot 26A.
Enfin, j'ai un rapport hijackthis que j'arrive pas à déchiffrer. Que dois je faire?
Logfile of HijackThis v1.97.7
Scan saved at 22:09:45, on 19/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\system32\cvpss.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\wssvrs.exe
C:\Program Files\Winamp3\winampa.exe
C:\windows\erxs.exe
C:\WINDOWS\System32\winsyst32.exe
C:\WINDOWS\System32\sxvhost.exe
C:\Program Files\Nikon\NkView5\NkvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Club-Internet\Lanceur.exe
C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
C:\WINDOWS\System32\WIN32SNC.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\messenger.exe
C:\PROGRA~1\Grisoft\AVG6\avgw.exe
C:\Documents and Settings\beauvery\Mes documents\programmes téléchargés\spyware\hijack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/040C/bF8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=040c&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=040c&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=040c&s=search&ap=b204
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.club-internet.fr/
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program Files\TV Media\TvmBho.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0BF83308-D853-3EA7-D05A-65557BD57D42} - C:\WINDOWS\System32\ujbq.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKLM\..\Run: [LAN Driver] landriver32.exe
O4 - HKLM\..\Run: [Microsoft Update] wssvrs.exe
O4 - HKLM\..\Run: [Microsoft Updater] winsys32.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Msn Messenger Service] messenger.exe
O4 - HKLM\..\Run: [DPA] c:\windows\erxs.exe
O4 - HKLM\..\Run: [Microsoft IT Update] winsyst32.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] lmrss.exe
O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\RunServices: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKLM\..\RunServices: [LAN Driver] landriver32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wssvrs.exe
O4 - HKLM\..\RunServices: [Microsoft Updater] winsys32.exe
O4 - HKLM\..\RunServices: [Msn Messenger Service] messenger.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] winsyst32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] lmrss.exe
O4 - HKLM\..\RunServices: [Microsoft--Updates] sxvhost.exe
O4 - HKCU\..\Run: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKCU\..\Run: [Msn Messenger Service] messenger.exe
O4 - HKLM\..\RunOnce: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - HKCU\..\RunOnce: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Sites Perso (HKLM)
O9 - Extra 'Tools' menuitem: Compaq France (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.napster.com/client/isetup.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0291C2AE-362A-43B3-BA8C-E17B3F7F37C8}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{622C4432-7FB6-4C63-BCA9-9A5F777A40EB}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{0291C2AE-362A-43B3-BA8C-E17B3F7F37C8}: NameServer = 194.117.200.10 194.117.200.15
Aidez moi je craque
A voir également:
- Hijackthis c'est pas de la tarte !
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Spywar - Forum Virus
- Processus et démarrage - Forum Windows
- Hijackthis log analyzer - Forum Virus
- Rapport Hijackthis ✓ - Forum Virus
13 réponses
re bonsoir,
pour ton virus, regarde l'autre poste, il y a les réponses...
pour l'analyse :
charche ce que c'est :
C:\windows\erxs.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Microsoft Update] wssvrs.exe
O4 - HKLM\..\Run: [Microsoft Updater] winsys32.exe
fix ça :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/040C/bF8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=040c&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=040c&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=040c&s=search&ap=b204
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.club-internet.fr/
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program Files\TV Media\TvmBho.dll
si c'est pas ton FAI, fix ça :
O17 - HKLM\System\CCS\Services\Tcpip\..\{0291C2AE-362A-43B3-BA8C-E17B3F7F37C8}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{622C4432-7FB6-4C63-BCA9-9A5F777A40EB}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{0291C2AE-362A-43B3-BA8C-E17B3F7F37C8}: NameServer = 194.117.200.10 194.117.200.15
bonne soirée,
a+
pour ton virus, regarde l'autre poste, il y a les réponses...
pour l'analyse :
charche ce que c'est :
C:\windows\erxs.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Microsoft Update] wssvrs.exe
O4 - HKLM\..\Run: [Microsoft Updater] winsys32.exe
fix ça :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/040C/bF8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=040c&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=040c&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=040c&s=search&ap=b204
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.club-internet.fr/
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program Files\TV Media\TvmBho.dll
si c'est pas ton FAI, fix ça :
O17 - HKLM\System\CCS\Services\Tcpip\..\{0291C2AE-362A-43B3-BA8C-E17B3F7F37C8}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{622C4432-7FB6-4C63-BCA9-9A5F777A40EB}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{0291C2AE-362A-43B3-BA8C-E17B3F7F37C8}: NameServer = 194.117.200.10 194.117.200.15
bonne soirée,
a+
salut
tu peut rajouter ca
O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
et certainement d autres
conseil utilise ces log (tous)
http://www.spywareinfo.com/~merijn/files/CWShredder.exe
il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next
---------------
Supprimer les mouchards avec AdAware ou Spybot:
http://www.ordi-netfr.org/tutorialadaware.html
---------------------------
spyboot
http://www.safer-networking.org/index.php?page=mirrors
-----------------------------
utilise cet anti trojan A2
http://www.emsisoft.net/fr/
penser a le metre a jour avant de scanner le pc
---------------------------------
la chasse et la balltrap ma vrai passion
voir site perso dans profil
tu peut rajouter ca
O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
et certainement d autres
conseil utilise ces log (tous)
http://www.spywareinfo.com/~merijn/files/CWShredder.exe
il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next
---------------
Supprimer les mouchards avec AdAware ou Spybot:
http://www.ordi-netfr.org/tutorialadaware.html
---------------------------
spyboot
http://www.safer-networking.org/index.php?page=mirrors
-----------------------------
utilise cet anti trojan A2
http://www.emsisoft.net/fr/
penser a le metre a jour avant de scanner le pc
---------------------------------
la chasse et la balltrap ma vrai passion
voir site perso dans profil
Ok les copains, merci je vais tester tout ça tout de suite et vous tiens au courant si ya un probleme
le résultat n'est pas gégène :
1- le virus worm agobot 26A n'a pas été fixé par FxGaobot.exe
2- les apparitions de fenetres bisards sont toujours là. A ce propos badger "charche ce que c'est : C:\windows\erxs.exe" ça veut dire qu'on peut le supprimer si ça n'a pas l'air bon?
1- le virus worm agobot 26A n'a pas été fixé par FxGaobot.exe
2- les apparitions de fenetres bisards sont toujours là. A ce propos badger "charche ce que c'est : C:\windows\erxs.exe" ça veut dire qu'on peut le supprimer si ça n'a pas l'air bon?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
re
a tu fait les log que je t ai mis
la chasse et la balltrap ma vrai passion
voir site perso dans profil
a tu fait les log que je t ai mis
la chasse et la balltrap ma vrai passion
voir site perso dans profil
Si ça peut vous aider à trouver une solution pour ce agobot26A (détecté par AVG), voici le rapport d'un scan par RAVantivirus. Ce qui m'étonne c'est que nullepart je trouve de la doc sur cette version de worm. C'est strange non?
Scan started at 19/07/2004 22:29:22
Scanning memory...
process://C:\WINDOWS\System32\wssvrs.exe - Exploit:Win32/Lsass.gen! -> Suspicious
process://C:\WINDOWS\System32\winsyst32.exe - Exploit:Win32/RpcDcom.gen! -> Suspicious
Scanning boot sectors...
Scanning files...
C:\WINDOWS\system32\WIN32SNC.exe - Backdoor:Win32/Rbot -> Infected
C:\WINDOWS\system32\wssvrs.exe->(tElock v0.98) - Backdoor:IRC/SdBot -> Suspicious
Scanned
============================
Objects: 32768
Directories: 3066
Archives: 6704
Size(Kb): 4942
Infected files: 5
Found
============================
Viruses found: 3
Suspicious files: 3
Disinfected files: 0
Mail files: 1399
Scan started at 19/07/2004 22:29:22
Scanning memory...
process://C:\WINDOWS\System32\wssvrs.exe - Exploit:Win32/Lsass.gen! -> Suspicious
process://C:\WINDOWS\System32\winsyst32.exe - Exploit:Win32/RpcDcom.gen! -> Suspicious
Scanning boot sectors...
Scanning files...
C:\WINDOWS\system32\WIN32SNC.exe - Backdoor:Win32/Rbot -> Infected
C:\WINDOWS\system32\wssvrs.exe->(tElock v0.98) - Backdoor:IRC/SdBot -> Suspicious
Scanned
============================
Objects: 32768
Directories: 3066
Archives: 6704
Size(Kb): 4942
Infected files: 5
Found
============================
Viruses found: 3
Suspicious files: 3
Disinfected files: 0
Mail files: 1399
re
tente ceci en mode sans echec
alors action numero 1
telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser
ftp://www.renonce.com/pub/renonce/Rimouveur.exe
Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC
et si ca ne marche pas utiliser la touche f5 a la place
Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus
Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc
la chasse et la balltrap ma vrai passion
voir site perso dans profil
tente ceci en mode sans echec
alors action numero 1
telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser
ftp://www.renonce.com/pub/renonce/Rimouveur.exe
Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC
et si ca ne marche pas utiliser la touche f5 a la place
Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus
Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc
la chasse et la balltrap ma vrai passion
voir site perso dans profil
... j'ai pas essyé l'anti trojan ni le spyboot de balltrap. Ceci dit j'ai osé supprimer le C:\windows\erxs.exe et là je suis moins emmerdé par ces apparitions d'écran. Mais bon le problem du virus reste entier.
fait les 4 logiciel que je t ai mis sinon on en sortira pas
sur ce bonne nuit je vais me coucher a demain
la chasse et la balltrap ma vrai passion
voir site perso dans profil
sur ce bonne nuit je vais me coucher a demain
la chasse et la balltrap ma vrai passion
voir site perso dans profil
Pas besoin d'aller plus loin... AVG vient de terminer un scan et a nettoyé le agobot26a. Il faut dire qu'après FxGaobot.exe j'ai sur les conseils du logitiel charé des patch xp : http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx et http://www.microsoft.com/technet/security/bulletin/MS03-07.mspx
Ca a certainement débloqué qq chose car le précédent scan AVG n'avait rien donné.
Bref grace à vous c'est => GRAND MERCI
A plus
Ca a certainement débloqué qq chose car le précédent scan AVG n'avait rien donné.
Bref grace à vous c'est => GRAND MERCI
A plus
