TROJAN-DROPPER.win32.agent.tor!A2
Le queniau
Messages postés
7766
Statut
Contributeur
-
jorginho67 Messages postés 15447 Statut Contributeur sécurité -
jorginho67 Messages postés 15447 Statut Contributeur sécurité -
Salut,
Depuis une semaine je suis infecté par ce trojan. Sur mon PC le plus infecté, je ne peux pour l'instant plus installer et rétablir ma connexion internet. Malgré un formatage et une réinstallation il était toujours présent. L'utilisation de NOD32 et de Ad-Aware m'a permis d'identifier certains fichier vérolés tels que "KEYFINDER.EXE" ou "SYSDM.EXE" et malgré l'utilisation de plusieurs anti-virus puis de la suppression de fichiers contaminés... ceux-ci étaient a nouveau présents au redémarrage. Sur ce poste j"ai aussi changé le disque dur par un neuf en pensant que le virus se situait dans les secteurs de démarrage de mon disque mais cela n'a rien changé. Quelqu'un a-t-il déjà été confronté à ce trojan et comment en êtes-vous débarrassé ? Pour l'instant je vérifie si mon deuxième poste n'est pas infecté car j"ai voulu formater et désinfecté mon premier disque dur dessus. Que faire en sachant que pour l'instant je n'ai pas vraiment de solution pour vous transmettre un rzpport HijackThis de ce PC
Par avance merci !
Depuis une semaine je suis infecté par ce trojan. Sur mon PC le plus infecté, je ne peux pour l'instant plus installer et rétablir ma connexion internet. Malgré un formatage et une réinstallation il était toujours présent. L'utilisation de NOD32 et de Ad-Aware m'a permis d'identifier certains fichier vérolés tels que "KEYFINDER.EXE" ou "SYSDM.EXE" et malgré l'utilisation de plusieurs anti-virus puis de la suppression de fichiers contaminés... ceux-ci étaient a nouveau présents au redémarrage. Sur ce poste j"ai aussi changé le disque dur par un neuf en pensant que le virus se situait dans les secteurs de démarrage de mon disque mais cela n'a rien changé. Quelqu'un a-t-il déjà été confronté à ce trojan et comment en êtes-vous débarrassé ? Pour l'instant je vérifie si mon deuxième poste n'est pas infecté car j"ai voulu formater et désinfecté mon premier disque dur dessus. Que faire en sachant que pour l'instant je n'ai pas vraiment de solution pour vous transmettre un rzpport HijackThis de ce PC
Par avance merci !
A voir également:
- TROJAN-DROPPER.win32.agent.tor!A2
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Adresse électronique non valide a2 - Forum Mobile
- Trojan b901 system32 win config 34 ✓ - Forum Virus
- Trojan agent ✓ - Forum Virus
- Comment enlever mon virus trojan:win32/si... ✓ - Forum Virus
43 réponses
Arfffff...
bon, Adaware n'est plus ce que c'était... de plus ta version date... Using definitions file:SE1R125 06.10.2006
On hausse d'un ton :
Sauvegarde ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
Clic droit sur le bureau => nouveau doccument => doccument texte et copi/colle ces instructions que tu porras consulter pour faire la manip' correctement !
* Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.
S'il manque le fichier COMCTL32.OCX, tu pourras le télécharger ici
C'est un bon scan passif que tu peux garder avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .
A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celle-ci.
* Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.
Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware soient cochées.
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :
* Dans l'onglet analyse, vérifie que "Exécuter un examen RAPIDE" soit coché et clique sur le bouton Rechercher pour démarrer l'analyse.
MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
* Si des malwares ont été détectés, leur liste s'affiche.
Coche tous les éléments détectés par Malwarebytes' Anti-Malware puis clique sur Supprimer la sélection afin d'éradiquer les malwares détectés.
/!\ (a faire impérativement sous peine de recommencer le scan) /!\ , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Ferme MBAM en cliquant sur Quitter.
Poste le rapport dans ta réponse
Tutoriel
Un autre si tu as besoin d'aide.
bon, Adaware n'est plus ce que c'était... de plus ta version date... Using definitions file:SE1R125 06.10.2006
On hausse d'un ton :
Sauvegarde ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
Clic droit sur le bureau => nouveau doccument => doccument texte et copi/colle ces instructions que tu porras consulter pour faire la manip' correctement !
* Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.
S'il manque le fichier COMCTL32.OCX, tu pourras le télécharger ici
C'est un bon scan passif que tu peux garder avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .
A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celle-ci.
* Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.
Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware soient cochées.
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :
* Dans l'onglet analyse, vérifie que "Exécuter un examen RAPIDE" soit coché et clique sur le bouton Rechercher pour démarrer l'analyse.
MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
* Si des malwares ont été détectés, leur liste s'affiche.
Coche tous les éléments détectés par Malwarebytes' Anti-Malware puis clique sur Supprimer la sélection afin d'éradiquer les malwares détectés.
/!\ (a faire impérativement sous peine de recommencer le scan) /!\ , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Ferme MBAM en cliquant sur Quitter.
Poste le rapport dans ta réponse
Tutoriel
Un autre si tu as besoin d'aide.
Ok, on va voir ou ça en est !
relance MBAM
* Dans l'onglet analyse, vérifie que "Exécuter un examen RAPIDE" soit coché et clique sur le bouton Rechercher pour démarrer l'analyse.
MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
* Si des malwares ont été détectés, leur liste s'affiche.
Coche tous les éléments détectés par Malwarebytes' Anti-Malware puis clique sur Supprimer la sélection afin d'éradiquer les malwares détectés.
/!\ (a faire impérativement sous peine de recommencer le scan) /!\ , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Ferme MBAM en cliquant sur Quitter.
Poste le rapport dans ta réponse
relance MBAM
* Dans l'onglet analyse, vérifie que "Exécuter un examen RAPIDE" soit coché et clique sur le bouton Rechercher pour démarrer l'analyse.
MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
* Si des malwares ont été détectés, leur liste s'affiche.
Coche tous les éléments détectés par Malwarebytes' Anti-Malware puis clique sur Supprimer la sélection afin d'éradiquer les malwares détectés.
/!\ (a faire impérativement sous peine de recommencer le scan) /!\ , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Ferme MBAM en cliquant sur Quitter.
Poste le rapport dans ta réponse
Bon toujours le même problème avec les cookies. Cette semaine un ami devrait me prêter son cd windows. Je vais faire plusieurs tests durant la semaine. Je vais aussi réinstaller XP sur mon ancien disque et je verrai si durant la semaine je constate un comportement suspect de mon PC car pour l'instant les différents anti-virus que j'ai ne détectent plus rien ! A voir donc.
Merci pour ton coup de main.
Merci pour ton coup de main.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Toujours pas de solution en vue ! En fait si je fais une nouvelle installation avec un formatage et que je n'installe pas de connexion internet je suis toujours infecté. Malgré tout mes anti-virus, je n'arrive pas a éradiqué ce trojan à la base et par conséquent je ne fais que nettoyer la surface ! Que faire ?
Salut !
J'avoue, là je sèche...
Ce que je trouve bizarre c'est qu'on ne voir nulle part ces " KEYFINDER.EXE" ou "SYSDM.EXE "
Tu peut me faire un scan en ligne, mais cette fois avec Bitdefender ?
* Fais un scan antivirus en ligne https://www.bitdefender.fr/ sous Internet Explorer et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.
Poste en réponse le rapport de scan qui se trouve ici C:\windows\bdoscan8\scanres.txt ou scanres.html
J'avoue, là je sèche...
Ce que je trouve bizarre c'est qu'on ne voir nulle part ces " KEYFINDER.EXE" ou "SYSDM.EXE "
Tu peut me faire un scan en ligne, mais cette fois avec Bitdefender ?
* Fais un scan antivirus en ligne https://www.bitdefender.fr/ sous Internet Explorer et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.
Poste en réponse le rapport de scan qui se trouve ici C:\windows\bdoscan8\scanres.txt ou scanres.html
Impossible de faire un scan online avec Bitdefender. La mise à jour viral ne peut se faire !
Je penserai plutôt situer le problème au niveau de ma ram ou du bios mais je ne sais pas si cela est possible car un de mes essai fut de refaire l'installation avec un disque vierge. Par contre je ne sais plus si j'étais toujours infecté avant de réinstaller ma connexion internet.
Je viens de refaire un rapport HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:15, on 11/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User '?')
O4 - HKUS\S-1-5-20\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User '?')
O4 - HKUS\S-1-5-20\..\Run: [Vistadrv] C:\Windows\System32\Vistadrive\vsdrv.exe (User '?')
O4 - HKUS\S-1-5-20\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User '?')
O4 - HKUS\S-1-5-20\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User '?')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User '?')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User '?')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
Je penserai plutôt situer le problème au niveau de ma ram ou du bios mais je ne sais pas si cela est possible car un de mes essai fut de refaire l'installation avec un disque vierge. Par contre je ne sais plus si j'étais toujours infecté avant de réinstaller ma connexion internet.
Je viens de refaire un rapport HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:15, on 11/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User '?')
O4 - HKUS\S-1-5-20\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User '?')
O4 - HKUS\S-1-5-20\..\Run: [Vistadrv] C:\Windows\System32\Vistadrive\vsdrv.exe (User '?')
O4 - HKUS\S-1-5-20\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User '?')
O4 - HKUS\S-1-5-20\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User '?')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User '?')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User '?')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
Le rapport n'est pas complet, mais là, je ne vois rien de spécial...
A part que tu n'as pas d'antivirus...
Télécharge AVIRA Antivir si tu veux l'esssayer sur le lien suivant.
https://www.clubic.com/telecharger-fiche10821-avira-antivir-personal-free-antivirus.html
Installe ANTIVIR...
TUTO D' installation par Malekal
Tuto D'instalation et de mise en Oeuvre
Encore un au cas ou...
Reconnecte toi, fais les mises à jours Antivir... tu seras mieux protégé !
Après l'installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion.
Assure toi qu'Antivir est bien à jour, ( clic droit sur le parapluie => Start Update ) et laisse faire la MàJ.
Redémarre en mode sans échec !
Pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
- Ouvre Antivir par le menu Démarrer / Programmes
- Cliquez sur l'onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne le disque C
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport.
Redémarre en mode normal.
Poste le rapport ici.
A part que tu n'as pas d'antivirus...
Télécharge AVIRA Antivir si tu veux l'esssayer sur le lien suivant.
https://www.clubic.com/telecharger-fiche10821-avira-antivir-personal-free-antivirus.html
Installe ANTIVIR...
TUTO D' installation par Malekal
Tuto D'instalation et de mise en Oeuvre
Encore un au cas ou...
Reconnecte toi, fais les mises à jours Antivir... tu seras mieux protégé !
Après l'installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion.
Assure toi qu'Antivir est bien à jour, ( clic droit sur le parapluie => Start Update ) et laisse faire la MàJ.
Redémarre en mode sans échec !
Pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
- Ouvre Antivir par le menu Démarrer / Programmes
- Cliquez sur l'onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne le disque C
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport.
Redémarre en mode normal.
Poste le rapport ici.
En fait le scan hijckthis a été effectué en mode sans echec et donc sans mon antivirus d'activé. En ce moment je suis revenu avec NOD32. Antivir vient de me trouver un nouveau trojan :
Avira AntiVir Personal
Report file date: mercredi 12 novembre 2008 00:08
Scanning for 1024586 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number:
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name:
Version information:
BUILD.DAT : 8.2.0.336 16933 Bytes 30/10/2008 11:40:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 09:57:53
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 08:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 13:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 08:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 23:06:49
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09/11/2008 23:06:51
ANTIVIR2.VDF : 7.1.0.57 2048 Bytes 09/11/2008 23:06:51
ANTIVIR3.VDF : 7.1.0.65 52736 Bytes 10/11/2008 23:06:52
Engineversion : 8.2.0.29
AEVDF.DLL : 8.1.0.6 102772 Bytes 11/11/2008 23:07:00
AESCRIPT.DLL : 8.1.1.13 332156 Bytes 11/11/2008 23:06:59
AESCN.DLL : 8.1.1.5 123251 Bytes 11/11/2008 23:06:58
AERDL.DLL : 8.1.1.3 438645 Bytes 11/11/2008 23:06:58
AEPACK.DLL : 8.1.3.3 393591 Bytes 11/11/2008 23:06:57
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 11/11/2008 23:06:57
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 11/11/2008 23:06:56
AEHELP.DLL : 8.1.1.3 119157 Bytes 11/11/2008 23:06:55
AEGEN.DLL : 8.1.1.0 319859 Bytes 11/11/2008 23:06:55
AEEMU.DLL : 8.1.0.9 393588 Bytes 11/11/2008 23:06:54
AECORE.DLL : 8.1.4.1 172405 Bytes 11/11/2008 23:06:53
AEBB.DLL : 8.1.0.3 53618 Bytes 11/11/2008 23:06:53
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 09:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 10:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 11/11/2008 23:06:52
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 12:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 09:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 13:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 13:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 13:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 14:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 14:34:37
Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, E:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: mercredi 12 novembre 2008 00:08
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'nod32krn.exe' - '1' Module(s) have been scanned
Scan process 'DkService.exe' - '1' Module(s) have been scanned
Scan process 'LClock.exe' - '1' Module(s) have been scanned
Scan process 'TweakRAM.exe' - '1' Module(s) have been scanned
Scan process 'UberIcon Manager.exe' - '1' Module(s) have been scanned
Scan process 'VisualTaskTips.exe' - '1' Module(s) have been scanned
Scan process '_looknstop.exe' - '1' Module(s) have been scanned
Scan process 'CFD.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
26 processes with 26 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'E:\'
[INFO] No virus was found!
Starting to scan the registry.
The registry was scanned ( '48' files ).
Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\calc.exe
[DETECTION] Is the TR/Vaklik.cnd Trojan
[NOTE] The file was deleted!
Begin scan in 'E:\'
End of the scan: mercredi 12 novembre 2008 00:23
Used time: 14:58 Minute(s)
The scan has been done completely.
4545 Scanning directories
193847 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
1 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
193845 Files not concerned
7060 Archives were scanned
1 Warnings
1 Notes
Avira AntiVir Personal
Report file date: mercredi 12 novembre 2008 00:08
Scanning for 1024586 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number:
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name:
Version information:
BUILD.DAT : 8.2.0.336 16933 Bytes 30/10/2008 11:40:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 09:57:53
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 08:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 13:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 08:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 23:06:49
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09/11/2008 23:06:51
ANTIVIR2.VDF : 7.1.0.57 2048 Bytes 09/11/2008 23:06:51
ANTIVIR3.VDF : 7.1.0.65 52736 Bytes 10/11/2008 23:06:52
Engineversion : 8.2.0.29
AEVDF.DLL : 8.1.0.6 102772 Bytes 11/11/2008 23:07:00
AESCRIPT.DLL : 8.1.1.13 332156 Bytes 11/11/2008 23:06:59
AESCN.DLL : 8.1.1.5 123251 Bytes 11/11/2008 23:06:58
AERDL.DLL : 8.1.1.3 438645 Bytes 11/11/2008 23:06:58
AEPACK.DLL : 8.1.3.3 393591 Bytes 11/11/2008 23:06:57
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 11/11/2008 23:06:57
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 11/11/2008 23:06:56
AEHELP.DLL : 8.1.1.3 119157 Bytes 11/11/2008 23:06:55
AEGEN.DLL : 8.1.1.0 319859 Bytes 11/11/2008 23:06:55
AEEMU.DLL : 8.1.0.9 393588 Bytes 11/11/2008 23:06:54
AECORE.DLL : 8.1.4.1 172405 Bytes 11/11/2008 23:06:53
AEBB.DLL : 8.1.0.3 53618 Bytes 11/11/2008 23:06:53
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 09:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 10:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 11/11/2008 23:06:52
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 12:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 09:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 13:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 13:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 13:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 14:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 14:34:37
Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, E:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: mercredi 12 novembre 2008 00:08
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'nod32krn.exe' - '1' Module(s) have been scanned
Scan process 'DkService.exe' - '1' Module(s) have been scanned
Scan process 'LClock.exe' - '1' Module(s) have been scanned
Scan process 'TweakRAM.exe' - '1' Module(s) have been scanned
Scan process 'UberIcon Manager.exe' - '1' Module(s) have been scanned
Scan process 'VisualTaskTips.exe' - '1' Module(s) have been scanned
Scan process '_looknstop.exe' - '1' Module(s) have been scanned
Scan process 'CFD.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
26 processes with 26 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'E:\'
[INFO] No virus was found!
Starting to scan the registry.
The registry was scanned ( '48' files ).
Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\calc.exe
[DETECTION] Is the TR/Vaklik.cnd Trojan
[NOTE] The file was deleted!
Begin scan in 'E:\'
End of the scan: mercredi 12 novembre 2008 00:23
Used time: 14:58 Minute(s)
The scan has been done completely.
4545 Scanning directories
193847 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
1 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
193845 Files not concerned
7060 Archives were scanned
1 Warnings
1 Notes
Bon, après quelques recherches, calc.exe c'est la calculatrice Windows... ;-(
Ou en sont tes soucis ?
Avec tes réinstallations, j'ai un peu perdu le fil lol...
As tu toujours tes soucis du post initial ?
Je pense que ça a un rapport avec ie6
Ou en sont tes soucis ?
Avec tes réinstallations, j'ai un peu perdu le fil lol...
As tu toujours tes soucis du post initial ?
Je pense que ça a un rapport avec ie6
Pour résumé et reprendre le problème à la source :
Si je met qu'un seul disque dur puis que je reboot sur mon CD XP, que procède à une nouvelle installation avec un formatage durant la procédure et que je lance NOD32 dés la fin de l'installation sans avoir procédé à remettre la connexion internet j'ai le fichier C:\windows\System32\Keyfinder.exe qui est infecté. Je ne sais donc pas comment supprimé la racine de mon infection et savoir oû elle peut se trouver si un formatage n'a pas réussit à la supprimée !
Si je met qu'un seul disque dur puis que je reboot sur mon CD XP, que procède à une nouvelle installation avec un formatage durant la procédure et que je lance NOD32 dés la fin de l'installation sans avoir procédé à remettre la connexion internet j'ai le fichier C:\windows\System32\Keyfinder.exe qui est infecté. Je ne sais donc pas comment supprimé la racine de mon infection et savoir oû elle peut se trouver si un formatage n'a pas réussit à la supprimée !
Keyfinder.
C'est toi qui l'a installé ?
il s’agit d’un petit programme gratuit capable de récupérer, dans la base de registre du système d’exploitation, les clés d’installation de Windows et de la suite bureautique Office.
On va essayer de le virer, et si tu en as besoin, tu pourras le re- télécharger.
• Télécharge OTMoveIt3 de OldTimer
http://oldtimer.geekstogo.com/OTMoveIt3.exe
* Enregistre-le sur ton bureau
* Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)
* Copie-colle l'ensemble des lignes en gras ci dessous dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) :
:files
C:\windows\System32\Keyfinder.exe
:commands
[emptytemp]
[Reboot]
* Clique sur le bouton rouge Moveit! pour lancer le nettoyage
* Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite)
==> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
* Ferme OTMoveIt3 (en cliquant sur Exit)
Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus.
Clique alors sur "Yes" pour accepter...
C'est toi qui l'a installé ?
il s’agit d’un petit programme gratuit capable de récupérer, dans la base de registre du système d’exploitation, les clés d’installation de Windows et de la suite bureautique Office.
On va essayer de le virer, et si tu en as besoin, tu pourras le re- télécharger.
• Télécharge OTMoveIt3 de OldTimer
http://oldtimer.geekstogo.com/OTMoveIt3.exe
* Enregistre-le sur ton bureau
* Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)
* Copie-colle l'ensemble des lignes en gras ci dessous dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) :
:files
C:\windows\System32\Keyfinder.exe
:commands
[emptytemp]
[Reboot]
* Clique sur le bouton rouge Moveit! pour lancer le nettoyage
* Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite)
==> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
* Ferme OTMoveIt3 (en cliquant sur Exit)
Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus.
Clique alors sur "Yes" pour accepter...
De supprimer ce fichier ou un autre ne me pose pas de problème. Je viens de faire la manip et cela me confirme bien que NOD32 l'avait déjà supprimé :
========== FILES ==========
File/Folder C:\windows\system32\keyfinder.exe not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_fc.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 11132008_022953
Files moved on Reboot...
C:\WINDOWS\temp\Perflib_Perfdata_fc.dat moved successfully.
En fait ce qui me préoccupe c'est que malgré un formatage et une nouvelle installation je sois toujours infecté et cela sans être encore connecté à internet. Il doit donc y avoir des secteurs d'amorçage de mon disque qui ne sont pas formatés ou alors ce virus ce trouve ailleurs mais là je sèche ! Cela fait une semaine que je n'arrête pas de désinfecter et je n'ai pas l'impression d'avoir éradiqué la racine du virus.
========== FILES ==========
File/Folder C:\windows\system32\keyfinder.exe not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_fc.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 11132008_022953
Files moved on Reboot...
C:\WINDOWS\temp\Perflib_Perfdata_fc.dat moved successfully.
En fait ce qui me préoccupe c'est que malgré un formatage et une nouvelle installation je sois toujours infecté et cela sans être encore connecté à internet. Il doit donc y avoir des secteurs d'amorçage de mon disque qui ne sont pas formatés ou alors ce virus ce trouve ailleurs mais là je sèche ! Cela fait une semaine que je n'arrête pas de désinfecter et je n'ai pas l'impression d'avoir éradiqué la racine du virus.
Salut Le Queniau
Une simple intuition:
Essaie un FIXMBR directement à partir de la console de réparation : ça écrasera l'indexation antérieure. Puis reformate ton disque.
Mais je dis ça comme ça. Les experts s'y connaissent mieux que moi. :-)
Ciao !
Une simple intuition:
Essaie un FIXMBR directement à partir de la console de réparation : ça écrasera l'indexation antérieure. Puis reformate ton disque.
Mais je dis ça comme ça. Les experts s'y connaissent mieux que moi. :-)
Ciao !
Salut Claude,
Je partage aussi ton intuition mais comme toi je ne suis pas expert. Lorsque j'ai branché mon disque sur mon deuxième PC, ve dernier à tout de suite été infecté. Je pense donc au secteur d'amorçage de mon disque mais...
Pour ton lien, je regarderai cela de plus près ce soir !
Je partage aussi ton intuition mais comme toi je ne suis pas expert. Lorsque j'ai branché mon disque sur mon deuxième PC, ve dernier à tout de suite été infecté. Je pense donc au secteur d'amorçage de mon disque mais...
Pour ton lien, je regarderai cela de plus près ce soir !
P.S. : L'été indien est-il agréable ?
Salut les gars
J'ai eu ce soucis avec calc.exe sur un topic, je sias plus quand ..........je mettrais bien cause la version ultimate^^
https://www.bleepingcomputer.com/startups/calc.exe-21370.html
Je commencerais bien par le virer ( je te filerai un boulier pendant ce temps là )
Et de voir ce qu'il en est ensuite.
Un RsIT ou diaghelp ou zhpdiag car hjt, c'est plus assez puissant.
J'ai eu ce soucis avec calc.exe sur un topic, je sias plus quand ..........je mettrais bien cause la version ultimate^^
https://www.bleepingcomputer.com/startups/calc.exe-21370.html
Je commencerais bien par le virer ( je te filerai un boulier pendant ce temps là )
Et de voir ce qu'il en est ensuite.
Un RsIT ou diaghelp ou zhpdiag car hjt, c'est plus assez puissant.
Re,
Peut être une piste :
Je n'ai pas regardé au bon endroit...
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
comment demarrer en mode sans echec en images
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
Tuto d'instalation et de mise en oeuvre
ps) Merci Claude et Noct' pour les coups de pouces ;-)
Peut être une piste :
Je n'ai pas regardé au bon endroit...
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
comment demarrer en mode sans echec en images
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
Tuto d'instalation et de mise en oeuvre
ps) Merci Claude et Noct' pour les coups de pouces ;-)
Aprés quelques difficultés pour le télécharger et l'installer je n'ai pas pu lance le fichier RunThis.bat mais uniquement Catchme.exe. Voici le log :
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-13 21:29:44
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
J'ai C_XX qui me propose de Faire une recherche sur SYSDM.EXE avec OAD, ou avec RSIT ou encore plus pointu, Systemscan. Avant je vais aussi essayer la piste de Claude !
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-13 21:29:44
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
J'ai C_XX qui me propose de Faire une recherche sur SYSDM.EXE avec OAD, ou avec RSIT ou encore plus pointu, Systemscan. Avant je vais aussi essayer la piste de Claude !
Arhh... je n'ai pas de console de récupération ni dans windows, ni sur mon cd et le lien ou j'aurai pu la télécharger est inaccessible pour l'instant ! Encire une soirée de galère en perspective...
Bon, là, je ne sais trop quoi te conseiller car je ne me suis jamais trouvée dans la même situation et j'ai utilisé la console pour des problèmes de reboots de PC perpétuels.
Cependant, je pense que si c'était mon ordinateur, je tenterais le coup puisque les solutions de désinfection, proposées jusqu'alors, ne semblent pas fonctionner.
Mais à toi de voir :)
A+
Cependant, je pense que si c'était mon ordinateur, je tenterais le coup puisque les solutions de désinfection, proposées jusqu'alors, ne semblent pas fonctionner.
Mais à toi de voir :)
A+
Hello les gens.
Merci du coup de pouce ;-)
C'est le soucis... sa version est une version " modifiée " [nltide3], ( rien de méchant ), faut juste savoir si elle accepte la console de récup'.
Mais j'avoue que là, je sèche un peu...
pas trop mon fort les Bios, Dos, etc...
Merci du coup de pouce ;-)
C'est le soucis... sa version est une version " modifiée " [nltide3], ( rien de méchant ), faut juste savoir si elle accepte la console de récup'.
Mais j'avoue que là, je sèche un peu...
pas trop mon fort les Bios, Dos, etc...
Peut-être le bout du tunnel !
Un ami vient de me prêter un XP et apparemment il n'y aurait pas de problème apparent avec. Si je réinstalle à partir du mien, Nod32 me trouve une infection et dans le dossier "Administrateur" j'ai toujours 4 fichiers texte qui apparaissent dont le nom est du style "dd_netfx20MSI4F25.txt" et j'ai un dossier "Nodtmpb". Il y a 2 semaines lors d'une installation il y a avait deux dossiers "Administrateur". Donc peut-être un problème avec mon XP. Par contre cela fait 3 ans que je tourne avec sans avoir de souci...
Un ami vient de me prêter un XP et apparemment il n'y aurait pas de problème apparent avec. Si je réinstalle à partir du mien, Nod32 me trouve une infection et dans le dossier "Administrateur" j'ai toujours 4 fichiers texte qui apparaissent dont le nom est du style "dd_netfx20MSI4F25.txt" et j'ai un dossier "Nodtmpb". Il y a 2 semaines lors d'une installation il y a avait deux dossiers "Administrateur". Donc peut-être un problème avec mon XP. Par contre cela fait 3 ans que je tourne avec sans avoir de souci...
Il exploitait peut etre des failles que les antivirus commence à contrer ( c'est le risque avec les xp exotique)
Je serais toi , j'abanadonnerai ultimate........et j'avais raison , gnagnagna ;)))
Je serais toi , j'abanadonnerai ultimate........et j'avais raison , gnagnagna ;)))
;-DDD
Ce qui m'ennuie c'est que j'aime bien l'interface de mon Ultimate et il n'y a que l'essentiel !
Pour l'instant je n'ai pas encore de certitude car je ne comprend pas pourquoi il s'infecte que maintenant et que cette infection ne se produit pas avec un autre sans qu'il n'y ai de connexion internet d'installée !
Ce qui m'ennuie c'est que j'aime bien l'interface de mon Ultimate et il n'y a que l'essentiel !
Pour l'instant je n'ai pas encore de certitude car je ne comprend pas pourquoi il s'infecte que maintenant et que cette infection ne se produit pas avec un autre sans qu'il n'y ai de connexion internet d'installée !
Salut
Si j'ai bien compris , c'est nod32 qui réagit à chaque fois que tu installes ?
Il se pourrait qu'il voit un faut positif.Et ça te fait penser à une infection ( probleme des version exotique).
Passe toi d'antivirus un temps , mais pas de pare feu, et envoies un scan en ligne avec kasperky ou bitdefender en ligne.
D'autre part , je sais pas ou en est ton calc.exe, mais va faire un tour sur virus-total
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
@
--.
L'humour est la clé de voûte de la conscience
Si j'ai bien compris , c'est nod32 qui réagit à chaque fois que tu installes ?
Il se pourrait qu'il voit un faut positif.Et ça te fait penser à une infection ( probleme des version exotique).
Passe toi d'antivirus un temps , mais pas de pare feu, et envoies un scan en ligne avec kasperky ou bitdefender en ligne.
D'autre part , je sais pas ou en est ton calc.exe, mais va faire un tour sur virus-total
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
@
--.
L'humour est la clé de voûte de la conscience
Je regarderai cela tout à l'heure mais ce qui me questionne c'est que j'ai fait un FIXMBR, un FIXBOOT puis un formatage à partir d'une console de récupération (que j'ai gravé sur mon PC infecté... donc sans doute pas fiable) puis a nouveau un formatage en ayant fait une suppression et une création d'une nouvelle partition pendant la procédure d'installation.
Je viens de rebrancher mon DD 1 (l'exotique) et voici les rapports pour les fichiers "KEYFINDER" et "CALC.EXE" :
KETFIBDER
ClamAV - - PUA.PwTool.PWDump-2
eSafe - - Suspicious File
McAfee - - Generic.dx
NOD32 - - Win32/PSWTool.RAS.A
Prevx1 - - Malicious Software
-Sophos - - RAS Key Editor
Information additionnelle
MD5: ad2c4950675902a9029bd56190ea709e
SHA1: 94511c7cce19670bdf58ee68d15fb61e9a8d4e6b
SHA256: 634ba004f7113d2212dee9d3ef18aaa8a423034bb67577f4251d1231b7ff4d17
SHA512: 2fbde318a4fa85889a4f4bca261a0aa5d35152675a2bcf0fbc153ba57fc2bcc411b2a0d04b67292c7898dfd7fefa1365724561d43140792a6b6be21167778c88
CALC.EXE
AntiVir 7.9.0.29 2008.11.11 TR/Vaklik.cnd
CAT-QuickHeal 9.50 2008.11.11 Trojan.Vaklik.cnd
SecureWeb-Gateway 6.7.6 2008.11.11 Trojan.Vaklik.cnd
VBA32 3.12.8.9 2008.11.10 Trojan.Win32.Vaklik.cnd
ViRobot 2008.11.11.1461 2008.11.11 Spyware.Vaklik.1108240
Information additionnelle
File size: 1108240 bytes
MD5...: 68fb97c1d91d2dc1a560c2439e5e3c84
SHA1..: e236068156bb868c1f96eaae560db087bbdd889b
SHA256: a20cff4dceaa2b51aef1617738b55338e5a985664faad7ccc28428fabcf06075
SHA512: 603c19a2a489801e3d4d2ecbe7dfafd1727ee01e4e4e03fc1379d7f143c684f7
7efeb770776b20bf88663814782cca786217e2224323d9695dc1dc4452902a7c
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x101e23a
timedatestamp.....: 0x4149b862 (Thu Sep 16 15:59:30 2004)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1eb18 0x1ec00 6.30 9088baa8358ba756962364c7bb9d4bd9
.data 0x20000 0x18e8 0xa00 3.60 456ceaf36dc0955de22aca3ea751bf12
.rsrc 0x22000 0xed24c 0xed400 5.87 79992b9096c8c4d850831e353b0b4c11
( 11 imports )
> SHELL32.dll: ShellExecuteExW
> SHLWAPI.dll: SHDeleteKeyW, SHDeleteValueW
> COMCTL32.dll: _TrackMouseEvent
> MSIMG32.dll: AlphaBlend
> msvcrt.dll: _CxxThrowException, _vsnwprintf, wcscmp, iswdigit, wcstoul, toupper, wcschr, memmove, wcslen, _wcsrev, _c_exit, _exit, _XcptFilter, _cexit, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, __3@YAXPAX@Z, __1type_info@@UAE@XZ, _controlfp, _except_handler3, __CxxFrameHandler, _terminate@@YAXXZ
> ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegQueryValueExA, RegQueryInfoKeyW, RegQueryValueExW, RegSetValueExW, RegEnumKeyExW, RegOpenKeyExW, RegCreateKeyExW
> KERNEL32.dll: GetModuleHandleA, LoadLibraryA, GetProcAddress, GlobalAlloc, GlobalFree, GlobalCompact, GetStartupInfoA, MulDiv, OutputDebugStringW, GlobalLock, GlobalSize, GlobalUnlock, lstrcpynW, ResetEvent, CreateEventW, GetCommandLineW, LocalAlloc, lstrcmpW, GetProfileStringW, SetLastError, LocalFree, LocalReAlloc, GetVersionExW, lstrlenW, GetStringTypeExW, GetUserDefaultLCID, GetDateFormatW, FileTimeToSystemTime, GetCurrentDirectoryW, SystemTimeToFileTime, GetLocalTime, CreateThread, CloseHandle, GetExitCodeThread, WaitForSingleObject, SetEvent, GetCurrentThreadId, GlobalReAlloc
> GDI32.dll: SetBkColor, GetDeviceCaps, SelectObject, SetStretchBltMode, CreateFontIndirectW, GetDIBits, SetDIBits, IntersectClipRect, SelectClipRgn, ExcludeClipRect, CreateSolidBrush, GetTextExtentPoint32W, BitBlt, SetTextColor, SetBkMode, DeleteDC, CreateCompatibleDC, GetStockObject, CreateRoundRectRgn, DeleteObject, StretchBlt, CreateDIBSection
> USER32.dll: RedrawWindow, SetDlgItemInt, CheckDlgButton, PostQuitMessage, DefWindowProcW, IsClipboardFormatAvailable, CallNextHookEx, GetClassNameW, PtInRect, EndMenu, InflateRect, HideCaret, GetWindowDC, FillRect, TrackPopupMenuEx, OpenClipboard, GetClipboardData, CharNextA, CloseClipboard, GetDesktopWindow, GetSysColor, SetWindowsHookExW, UnhookWindowsHookEx, MessageBeep, GetMenu, GetSubMenu, CharNextW, RegisterClassExW, GetSysColorBrush, LoadCursorW, LoadIconW, MoveWindow, MapWindowPoints, GetWindowRect, GetWindowLongW, SetWindowRgn, EnumChildWindows, SetWindowPos, GetSystemMetrics, GetClientRect, InvalidateRect, UpdateWindow, SendMessageW, SetDlgItemTextW, EnableMenuItem, CheckMenuItem, CheckMenuRadioItem, OffsetRect, EnableWindow, LoadMenuW, CreateDialogParamW, GetDlgItem, SetWindowLongW, DestroyMenu, DestroyWindow, SetMenu, ShowWindow, SystemParametersInfoW, RegisterClassW, GetClassInfoW, DispatchMessageW, TranslateMessage, TranslateAcceleratorW, IsChild, IsDialogMessageW, GetFocus, GetMessageW, LoadAcceleratorsW, CreateWindowExW, MessageBoxW, LoadStringW, SetProcessDefaultLayout, GetProcessDefaultLayout, CallWindowProcW, PostMessageW, EndPaint, DrawIconEx, BeginPaint, SetWindowTextW, EndDialog, GetCursorPos, DestroyIcon, LoadImageW, DrawTextW, GetWindowTextW, ReleaseDC, GetDC, SetLayeredWindowAttributes, SetFocus, GetWindowTextLengthW, GetDlgCtrlID, DialogBoxParamW, SetCursor, CheckRadioButton
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitializeEx
> OLEAUT32.dll: -, -, -
( 0 exports )
Pour "CALC.EXE" j'ai effectué l'analyse avec mon DD 2 (l'officiel) et l'analyse ne signale rien.
En fait, il faudrait sans doute que je grave un CD de console de récupération sur un autre PC avec les fichiers pour flasher mon BIOS afin de tenter d'éliminer toutes possibilités d'infection puis de faire une dernière tentative d'installation.
KETFIBDER
ClamAV - - PUA.PwTool.PWDump-2
eSafe - - Suspicious File
McAfee - - Generic.dx
NOD32 - - Win32/PSWTool.RAS.A
Prevx1 - - Malicious Software
-Sophos - - RAS Key Editor
Information additionnelle
MD5: ad2c4950675902a9029bd56190ea709e
SHA1: 94511c7cce19670bdf58ee68d15fb61e9a8d4e6b
SHA256: 634ba004f7113d2212dee9d3ef18aaa8a423034bb67577f4251d1231b7ff4d17
SHA512: 2fbde318a4fa85889a4f4bca261a0aa5d35152675a2bcf0fbc153ba57fc2bcc411b2a0d04b67292c7898dfd7fefa1365724561d43140792a6b6be21167778c88
CALC.EXE
AntiVir 7.9.0.29 2008.11.11 TR/Vaklik.cnd
CAT-QuickHeal 9.50 2008.11.11 Trojan.Vaklik.cnd
SecureWeb-Gateway 6.7.6 2008.11.11 Trojan.Vaklik.cnd
VBA32 3.12.8.9 2008.11.10 Trojan.Win32.Vaklik.cnd
ViRobot 2008.11.11.1461 2008.11.11 Spyware.Vaklik.1108240
Information additionnelle
File size: 1108240 bytes
MD5...: 68fb97c1d91d2dc1a560c2439e5e3c84
SHA1..: e236068156bb868c1f96eaae560db087bbdd889b
SHA256: a20cff4dceaa2b51aef1617738b55338e5a985664faad7ccc28428fabcf06075
SHA512: 603c19a2a489801e3d4d2ecbe7dfafd1727ee01e4e4e03fc1379d7f143c684f7
7efeb770776b20bf88663814782cca786217e2224323d9695dc1dc4452902a7c
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x101e23a
timedatestamp.....: 0x4149b862 (Thu Sep 16 15:59:30 2004)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1eb18 0x1ec00 6.30 9088baa8358ba756962364c7bb9d4bd9
.data 0x20000 0x18e8 0xa00 3.60 456ceaf36dc0955de22aca3ea751bf12
.rsrc 0x22000 0xed24c 0xed400 5.87 79992b9096c8c4d850831e353b0b4c11
( 11 imports )
> SHELL32.dll: ShellExecuteExW
> SHLWAPI.dll: SHDeleteKeyW, SHDeleteValueW
> COMCTL32.dll: _TrackMouseEvent
> MSIMG32.dll: AlphaBlend
> msvcrt.dll: _CxxThrowException, _vsnwprintf, wcscmp, iswdigit, wcstoul, toupper, wcschr, memmove, wcslen, _wcsrev, _c_exit, _exit, _XcptFilter, _cexit, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, __3@YAXPAX@Z, __1type_info@@UAE@XZ, _controlfp, _except_handler3, __CxxFrameHandler, _terminate@@YAXXZ
> ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegQueryValueExA, RegQueryInfoKeyW, RegQueryValueExW, RegSetValueExW, RegEnumKeyExW, RegOpenKeyExW, RegCreateKeyExW
> KERNEL32.dll: GetModuleHandleA, LoadLibraryA, GetProcAddress, GlobalAlloc, GlobalFree, GlobalCompact, GetStartupInfoA, MulDiv, OutputDebugStringW, GlobalLock, GlobalSize, GlobalUnlock, lstrcpynW, ResetEvent, CreateEventW, GetCommandLineW, LocalAlloc, lstrcmpW, GetProfileStringW, SetLastError, LocalFree, LocalReAlloc, GetVersionExW, lstrlenW, GetStringTypeExW, GetUserDefaultLCID, GetDateFormatW, FileTimeToSystemTime, GetCurrentDirectoryW, SystemTimeToFileTime, GetLocalTime, CreateThread, CloseHandle, GetExitCodeThread, WaitForSingleObject, SetEvent, GetCurrentThreadId, GlobalReAlloc
> GDI32.dll: SetBkColor, GetDeviceCaps, SelectObject, SetStretchBltMode, CreateFontIndirectW, GetDIBits, SetDIBits, IntersectClipRect, SelectClipRgn, ExcludeClipRect, CreateSolidBrush, GetTextExtentPoint32W, BitBlt, SetTextColor, SetBkMode, DeleteDC, CreateCompatibleDC, GetStockObject, CreateRoundRectRgn, DeleteObject, StretchBlt, CreateDIBSection
> USER32.dll: RedrawWindow, SetDlgItemInt, CheckDlgButton, PostQuitMessage, DefWindowProcW, IsClipboardFormatAvailable, CallNextHookEx, GetClassNameW, PtInRect, EndMenu, InflateRect, HideCaret, GetWindowDC, FillRect, TrackPopupMenuEx, OpenClipboard, GetClipboardData, CharNextA, CloseClipboard, GetDesktopWindow, GetSysColor, SetWindowsHookExW, UnhookWindowsHookEx, MessageBeep, GetMenu, GetSubMenu, CharNextW, RegisterClassExW, GetSysColorBrush, LoadCursorW, LoadIconW, MoveWindow, MapWindowPoints, GetWindowRect, GetWindowLongW, SetWindowRgn, EnumChildWindows, SetWindowPos, GetSystemMetrics, GetClientRect, InvalidateRect, UpdateWindow, SendMessageW, SetDlgItemTextW, EnableMenuItem, CheckMenuItem, CheckMenuRadioItem, OffsetRect, EnableWindow, LoadMenuW, CreateDialogParamW, GetDlgItem, SetWindowLongW, DestroyMenu, DestroyWindow, SetMenu, ShowWindow, SystemParametersInfoW, RegisterClassW, GetClassInfoW, DispatchMessageW, TranslateMessage, TranslateAcceleratorW, IsChild, IsDialogMessageW, GetFocus, GetMessageW, LoadAcceleratorsW, CreateWindowExW, MessageBoxW, LoadStringW, SetProcessDefaultLayout, GetProcessDefaultLayout, CallWindowProcW, PostMessageW, EndPaint, DrawIconEx, BeginPaint, SetWindowTextW, EndDialog, GetCursorPos, DestroyIcon, LoadImageW, DrawTextW, GetWindowTextW, ReleaseDC, GetDC, SetLayeredWindowAttributes, SetFocus, GetWindowTextLengthW, GetDlgCtrlID, DialogBoxParamW, SetCursor, CheckRadioButton
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitializeEx
> OLEAUT32.dll: -, -, -
( 0 exports )
Pour "CALC.EXE" j'ai effectué l'analyse avec mon DD 2 (l'officiel) et l'analyse ne signale rien.
En fait, il faudrait sans doute que je grave un CD de console de récupération sur un autre PC avec les fichiers pour flasher mon BIOS afin de tenter d'éliminer toutes possibilités d'infection puis de faire une dernière tentative d'installation.
Pour les nouvelles !
Mise à jour du bios, changement de Ram, installation d'un nouvelle XP et AVG est en train de me trouver de nouvelles infections (Worm/autoit.DMV, Trojan horse Generic 3.EBY, ObFustast.SRE)! Si j'installe mon ancien XP qui après la mise à jour du bios refusait de s'installer avec un Trap 000000005 ___ EXCEPTION... mais accepta après un changement de Ram, NOD32 me trouve toujours les mêmes fichiers infectés malgré un formatage avant installation. Si j'installe un SP3 j'ai un stop 0x0000007B...
Donc pas de solution pour l'instant. Je vais la semaine prochaine passer mon PC à un collègue pour voir si avec son environnement, sa façon de procéder, ses CDs et ses logiciels s'il arrive à la même conclusion ou pas.
A suivre donc !
Mise à jour du bios, changement de Ram, installation d'un nouvelle XP et AVG est en train de me trouver de nouvelles infections (Worm/autoit.DMV, Trojan horse Generic 3.EBY, ObFustast.SRE)! Si j'installe mon ancien XP qui après la mise à jour du bios refusait de s'installer avec un Trap 000000005 ___ EXCEPTION... mais accepta après un changement de Ram, NOD32 me trouve toujours les mêmes fichiers infectés malgré un formatage avant installation. Si j'installe un SP3 j'ai un stop 0x0000007B...
Donc pas de solution pour l'instant. Je vais la semaine prochaine passer mon PC à un collègue pour voir si avec son environnement, sa façon de procéder, ses CDs et ses logiciels s'il arrive à la même conclusion ou pas.
A suivre donc !
Re...
Bizarre...
J'ai entendu quelque part qu'ily avait eu sur le marché des DD neufs infectés, mais tu dis que ça fait pas mal de temps que tu les as et sans soucis....
Tu peux me refaire un scan HJT et me poster le rapport ? ( quand tu le pourras )
Bizarre...
J'ai entendu quelque part qu'ily avait eu sur le marché des DD neufs infectés, mais tu dis que ça fait pas mal de temps que tu les as et sans soucis....
Tu peux me refaire un scan HJT et me poster le rapport ? ( quand tu le pourras )
Salut Le Queniau
Il y a un problème avec AVG (que je n'ai jamais aimé) en ce moment:
http://news.cnet.com/8301-1009_3-10093875-83.html
Ne serait-ce pas simplement ce qui t'arrive ?
As-tu essayé avec un autre antivirus, genre Antivir ?
Il y a un problème avec AVG (que je n'ai jamais aimé) en ce moment:
http://news.cnet.com/8301-1009_3-10093875-83.html
Ne serait-ce pas simplement ce qui t'arrive ?
As-tu essayé avec un autre antivirus, genre Antivir ?
Salut Claude,
Je viens de faire un essai en desinstallant AVG et en installant NOD32 et il m'a trouvé PSW.Agent.NDP cheval de troie.
Pour Jorginho67 :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:48:01, on 22/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NodLogin] C:\Program Files\ESET\ESET NOD32 Antivirus\nodlogin.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - https://www.eset.com/
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Je viens de faire un essai en desinstallant AVG et en installant NOD32 et il m'a trouvé PSW.Agent.NDP cheval de troie.
Pour Jorginho67 :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:48:01, on 22/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NodLogin] C:\Program Files\ESET\ESET NOD32 Antivirus\nodlogin.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - https://www.eset.com/
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Re,
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
il n'y etait pas ...
Relance Hijackthis
-Clique sur « do a system scan only »
-Coche cette ligne :
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
-Et clique sur « Fix Checked »
PUIS
• Télécharge OTMoveIt3 de OldTimer
http://oldtimer.geekstogo.com/OTMoveIt3.exe
* Enregistre-le sur ton bureau
* Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)
* Copie-colle l'ensemble des lignes en gras ci dessous dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) :
:files
C:\WINDOWS\system32\avpo.exe
:commands
[emptytemp]
[Reboot]
* Clique sur le bouton rouge Moveit! pour lancer le nettoyage
* Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite)
==> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
* Ferme OTMoveIt3 (en cliquant sur Exit)
Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus.
Clique alors sur "Yes" pour accepter...
Dis moi si tu as toujours l'alerte.
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
il n'y etait pas ...
Relance Hijackthis
-Clique sur « do a system scan only »
-Coche cette ligne :
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
-Et clique sur « Fix Checked »
PUIS
• Télécharge OTMoveIt3 de OldTimer
http://oldtimer.geekstogo.com/OTMoveIt3.exe
* Enregistre-le sur ton bureau
* Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)
* Copie-colle l'ensemble des lignes en gras ci dessous dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) :
:files
C:\WINDOWS\system32\avpo.exe
:commands
[emptytemp]
[Reboot]
* Clique sur le bouton rouge Moveit! pour lancer le nettoyage
* Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite)
==> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
* Ferme OTMoveIt3 (en cliquant sur Exit)
Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus.
Clique alors sur "Yes" pour accepter...
Dis moi si tu as toujours l'alerte.
Toujours pour les nouvelles : ce matin j'ai déposé mon PC à un collègue afin qu'il essaye de son coté de refaire une installation complète en ayant tout formater complètement avant. Ce soir il m'envoie un mail me signalant que pour l'instant l'installation est faite et qu'il n'y a rien a signaler et qu'il allait laissé tourner la bécane pour contrôler si cela reste ainsi. Les voix de l'informatique sont parfois impénétrable ! ;-)
Pour Ad'Aware la base est ancienne mais les mises à jour sont actuelles. En fait actuellement sur ce PC j'ai AVG en anti-virus actif. J'ai désinstaller NOD32 qui était à la base avec mon XP dans le doute d'une infection avec la création d'un "doublon". Sinon j'ai MBA (qui vient de me trouvé une infection), ATF, Trojan Remover et Kaperski (en ligne que l'on a fait hier). J'ai aussi CCleaner et RegCleaner. Depuis une semaine je jongle entre chaque pour essayer de trouver des infos sur mon infection.
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1373
Windows 5.1.2600 Service Pack 2
08/11/2008 21:07:03
mbam-log-2008-11-08 (21-07-00).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 53707
Temps écoulé: 3 minute(s), 37 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\syssetub.dll (Trojan.Agent) -> No action taken.
J'ai effectué la suppression. Par contre le dossier HKEY_CURRENT_USER se trouve oû car je n'arrive pas à le situé pour l'instant ?