Sujet Précédent Sujet Suivant

Virus administrateur qui commande tous

Résolu/Fermé
kimbrador - 16 déc. 2008 à 23:59
 kimbrador - 21 déc. 2008 à 23:57
Bonjour,

est ce qu'il ya quelquns qui peu m aider?????????

j ai ete attaquer par un virus qui ma bloqué mon compte administrateur ,et c lui qui gere tout je peu acceder que par mon compte utilisateur lorsque je tape administrateur il demande "mot de passe " que j ai jamais fai un ,je peu ni installer ni supprimer ni formater
ce que je sache c que les virus s'appellent
IRI.EXE
OKEA.EXE
SYSTEM9.EXE
SYSTEM43.EXE
XX.EXE
A voir également:

63 réponses

Précédent
Réponse 21 / 63
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
18 déc. 2008 à 01:42
---> Poste un nouveau rapport HijackThis.
0
kimbrador
18 déc. 2008 à 02:08
voila le rapport chef


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:07:19, on 19/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\Program Files\TrojanHunter 4.7\THGuard.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\Fighters\spywarefighter\SpywarefighterUser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Antivirus 2009\av2009.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Documents and Settings\selim\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {b00f3d7d-ecad-4a3b-bcf7-ba5fc1fd0f8d} - (no file)
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Program Files\Dealio\kb127\Dealio.dll (file missing)
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (file missing)
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [au] C:\Program Files\Dealio\DealioAU.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.7\THGuard.exe"
O4 - HKLM\..\Run: [nl2plwrk] C:\WINDOWS\system32\svscs.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [MRT] "C:\WINDOWS\system32\MRT.exe" /R
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\Fighters\spywarefighter\SpywarefighterUser.exe
O4 - HKLM\..\Run: [4885937c] rundll32.exe "C:\WINDOWS\system32\mvbcjphc.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [nl2plwrk] C:\WINDOWS\system32\svscs.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ntpnzlao.exe] C:\WINDOWS\ntpnzlao.exe
O4 - HKCU\..\Run: [39046549938898285587222595695693] C:\Program Files\Antivirus 2009\av2009.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\DOCUME~1\selim\LOCALS~1\Temp\tuvVoPGX.dll,c
O4 - HKCU\..\Run: [MS Juan] rundll32 "C:\DOCUME~1\selim\LOCALS~1\Temp\nnogtt.dll",run
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb127\Dealio.dll (file missing)
O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb127\Dealio.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D23C7C6-57BF-4265-B000-1D3A9DD08361}: NameServer = 213.36.80.1
O20 - AppInit_DLLs: vyywhp.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: Windows CardSpace (idsvc) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
0
Réponse 22 / 63
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
18 déc. 2008 à 01:43
Re,

tu as une sauvegarde de tes donnéées personelles ?

tu as le cd de windows et la clé de 25 caractères ?

as tu des données confidentielles ? des mots de passe ? des données bancaires ?
0
kimbrador
18 déc. 2008 à 02:02
1) j ai pas arrivé a lancer le prog : msg"vous n avez pas le droit administrateur"
2)non j ai pas le cd windo
3)de toute facon je peut pas acceder a aucun document personnel je suis q un simple utilisateur
et monsieur le virus et mon administrateur
0
Réponse 23 / 63
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
18 déc. 2008 à 02:14
1/

---> Relance HijackThis et choisis Do a system scan only.

---> Coche les cases qui sont devant les lignes suivantes :

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)

O3 - Toolbar: (no name) - {b00f3d7d-ecad-4a3b-bcf7-ba5fc1fd0f8d} - (no file)

O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (file missing)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe

O4 - HKLM\..\Run: [nl2plwrk] C:\WINDOWS\system32\svscs.exe

O4 - HKLM\..\Run: [4885937c] rundll32.exe "C:\WINDOWS\system32\mvbcjphc.dll",b

O4 - HKCU\..\Run: [nl2plwrk] C:\WINDOWS\system32\svscs.exe

O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe

O4 - HKCU\..\Run: [ntpnzlao.exe] C:\WINDOWS\ntpnzlao.exe

O4 - HKCU\..\Run: [39046549938898285587222595695693] C:\Program Files\Antivirus 2009\av2009.exe

O4 - HKCU\..\Run: [cmds] rundll32.exe C:\DOCUME~1\selim\LOCALS~1\Temp\tuvVoPGX.dll,c

O4 - HKCU\..\Run: [MS Juan] rundll32 "C:\DOCUME~1\selim\LOCALS~1\Temp\nnogtt.dll",run

O20 - AppInit_DLLs: vyywhp.dll

---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

---> Redémarre ton PC.


2/

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :





:processes
explorer.exe

:files
C:\WINDOWS\system32\drivers\mrxdavv.sys
C:\WINDOWS\system32\svscs.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\ntpnzlao.exe
C:\Program Files\Antivirus 2009
C:\Program Files\Search Settings
C:\Program Files\SweetIM

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
0
kimbrador
18 déc. 2008 à 02:49
le rapport chef :


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\Program Files\Dealio not found.
C:\Program Files\Search Settings\kb127\temp moved successfully.
C:\Program Files\Search Settings\kb127\res moved successfully.
C:\Program Files\Search Settings\kb127 moved successfully.
C:\Program Files\Search Settings moved successfully.
File/Folder C:\WINDOWS\System32\fxstaller.exe not found.
C:\WINDOWS\system32\svscs.exe moved successfully.
C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources moved successfully.
C:\Program Files\SweetIM\Toolbars\Internet Explorer\conf moved successfully.
C:\Program Files\SweetIM\Toolbars\Internet Explorer moved successfully.
C:\Program Files\SweetIM\Toolbars moved successfully.
C:\Program Files\SweetIM\Messenger\resources\images moved successfully.
C:\Program Files\SweetIM\Messenger\resources moved successfully.
C:\Program Files\SweetIM\Messenger moved successfully.
C:\Program Files\SweetIM moved successfully.
File/Folder C:\WINDOWS\System32\rs32net.exe not found.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\jpflfehp.dll
C:\WINDOWS\system32\jpflfehp.dll NOT unregistered.
C:\WINDOWS\system32\jpflfehp.dll moved successfully.
File move failed. C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe scheduled to be moved on reboot.
C:\WINDOWS\ntpnzlao.exe moved successfully.
C:\Program Files\A360 moved successfully.
File/Folder C:\WINDOWS\system32\vyywhp.dll not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\selim\LOCALS~1\Temp\byXNeDVp.dll scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\selim\LOCALS~1\Temp\szgivr.dll scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.0 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.1 scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12182008_201534

Files moved on Reboot...
File move failed. C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\DOCUME~1\selim\LOCALS~1\Temp\byXNeDVp.dll
C:\DOCUME~1\selim\LOCALS~1\Temp\byXNeDVp.dll NOT unregistered.
C:\DOCUME~1\selim\LOCALS~1\Temp\byXNeDVp.dll moved successfully.
DllUnregisterServer procedure not found in C:\DOCUME~1\selim\LOCALS~1\Temp\szgivr.dll
C:\DOCUME~1\selim\LOCALS~1\Temp\szgivr.dll NOT unregistered.
C:\DOCUME~1\selim\LOCALS~1\Temp\szgivr.dll moved successfully.
File move failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.0 scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.1 scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_001_ scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_002_ scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_003_ scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_MAP_ scheduled to be moved on reboot.
C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\XUL.mfl moved successfully.
0
kimbrador
18 déc. 2008 à 02:57
le rapport chef :


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\Program Files\Dealio not found.
C:\Program Files\Search Settings\kb127\temp moved successfully.
C:\Program Files\Search Settings\kb127\res moved successfully.
C:\Program Files\Search Settings\kb127 moved successfully.
C:\Program Files\Search Settings moved successfully.
File/Folder C:\WINDOWS\System32\fxstaller.exe not found.
C:\WINDOWS\system32\svscs.exe moved successfully.
C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources moved successfully.
C:\Program Files\SweetIM\Toolbars\Internet Explorer\conf moved successfully.
C:\Program Files\SweetIM\Toolbars\Internet Explorer moved successfully.
C:\Program Files\SweetIM\Toolbars moved successfully.
C:\Program Files\SweetIM\Messenger\resources\images moved successfully.
C:\Program Files\SweetIM\Messenger\resources moved successfully.
C:\Program Files\SweetIM\Messenger moved successfully.
C:\Program Files\SweetIM moved successfully.
File/Folder C:\WINDOWS\System32\rs32net.exe not found.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\jpflfehp.dll
C:\WINDOWS\system32\jpflfehp.dll NOT unregistered.
C:\WINDOWS\system32\jpflfehp.dll moved successfully.
File move failed. C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe scheduled to be moved on reboot.
C:\WINDOWS\ntpnzlao.exe moved successfully.
C:\Program Files\A360 moved successfully.
File/Folder C:\WINDOWS\system32\vyywhp.dll not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\selim\LOCALS~1\Temp\byXNeDVp.dll scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\selim\LOCALS~1\Temp\szgivr.dll scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.0 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.1 scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12182008_201534

Files moved on Reboot...
File move failed. C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\DOCUME~1\selim\LOCALS~1\Temp\byXNeDVp.dll
C:\DOCUME~1\selim\LOCALS~1\Temp\byXNeDVp.dll NOT unregistered.
C:\DOCUME~1\selim\LOCALS~1\Temp\byXNeDVp.dll moved successfully.
DllUnregisterServer procedure not found in C:\DOCUME~1\selim\LOCALS~1\Temp\szgivr.dll
C:\DOCUME~1\selim\LOCALS~1\Temp\szgivr.dll NOT unregistered.
C:\DOCUME~1\selim\LOCALS~1\Temp\szgivr.dll moved successfully.
File move failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.0 scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.1 scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_001_ scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_002_ scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_003_ scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_MAP_ scheduled to be moved on reboot.
C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\XUL.mfl moved successfully.
0
kimbrador
19 déc. 2008 à 23:20
dis moi festrio5 stp

pourquoi un des fichier virus que j'ai (aok.exe)

1) avant il avait l'icone la forme d'une pignion et maintenant elle est devenu une icone d'un prog DOS
2) lorsque j'ai voulu l'ouvrir ,elle m a ouvert une page DOS a fond noir et suivi d'une boite de msg s'est affiché voila son contenu

"sous-system MS DOS 16bits

c:\aok.exe
c:\programfiles\alwil software\Avast4\aswMonVd.dll .l'initialisation de la DLL
d'un pilote de périphérique installable a echoué
choisissez 'fermer pour pour mettre fin a l'application '

3) lorsque j'ai essayer de supp ce fichier une boite msg s est affiché :

"impossible de supp aok.exe :acces réfuse
verifiez que le disque n'est pas plein ou protégé en ecriture,et que
le fichier n'est pas utilisé actuellement "

4) sachant qu'avant il ne s'ouvre jamais se fichier
0
Réponse 24 / 63
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
18 déc. 2008 à 02:51
Ce n'est pas le bon rapport.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 63
kimbrador
18 déc. 2008 à 02:53
je suis tellement desolé voila le bon rapport (celui que j ai envoyé est celui de la premiere fois voila le bon desole encore une fois


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\WINDOWS\system32\drivers\mrxdavv.sys not found.
File/Folder C:\WINDOWS\system32\svscs.exe not found.
File/Folder C:\WINDOWS\System32\rs32net.exe not found.
File/Folder C:\WINDOWS\ntpnzlao.exe not found.
C:\Program Files\Antivirus 2009 moved successfully.
File/Folder C:\Program Files\Search Settings not found.
File/Folder C:\Program Files\SweetIM not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\selim\LOCALS~1\Temp\tuvVoPGX.dll scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.0 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.1 scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12192008_024034
0
Réponse 26 / 63
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
18 déc. 2008 à 03:04
http://sd-1.archive-host.com/membres/up/3288717712384394/MBAM.rar

Extrais cette archive et lance MBAM.
0
kimbrador
18 déc. 2008 à 03:18
ca marche pas il m'affiche le message suivant "run time error"0" "
0
Réponse 27 / 63
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
18 déc. 2008 à 03:21
- Télécharge Dr.Web CureIt sur ton Bureau.
- Double-clique sur launcher.exe (Icône en forme d'araignée).
- Clique sur Commencer le scan puis sur OK à l'invite de l'analyse rapide.
Le scan va analyser les processus chargés en mémoire. S'il trouve des infections, clique sur le bouton Oui à chaque proposition.
NB : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction". Quitte en cliquant le X.
- Une fois le scan rapide achevé, clique sur Options puis choisis Changer la configuration. Choisis l'onglet Scanner, décoche Analyse heuristique puis clique sur Ok.
- De retour à la fenêtre principale, clique pour activer Analyse complète puis sur le bouton avec la flèche verte => le scan débute alors.
- Lorsque qu'un fichier est détecté, clique sur Oui pour tout à l'invite Désinfecter ? puis sur Désinfecter.
- Lorsque le scan sera terminé, regarde si tu peux cliquer sur cet icône adjacent aux fichiers détectés (Icône avec une sorte de V rouge). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant au dessous, et choisis Déplacer en quarantaine l'objet indésirable.
- En haut à gauche du menu principal de l'outil, clique sur le menu Fichier et choisis Enregistrer le rapport.
- Sauvegarde le rapport. Il se nomme : DrWeb.csv
- Ferme Dr.Web CureIt.
- Redémarre ton PC (c'est très important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Après redémarrage, copie/colle le rapport Dr.Web sur le forum.
0
kimbrador
18 déc. 2008 à 07:16
et bien bonjour DESTRIO5 et voila le rapport c maintenant quèil a fini

fcccslle.dll c:\windows\system32 Trojan.DownLoad.25698 Impossible de désinfecter
iri.exe C:\ Trojan.Inject.5299
okea.exe C:\ BackDoor.IRC.Sdbot.3762
system43.exe C:\ Trojan.Inject.5299
system9.exe C:\ Trojan.Inject.5299
xx.exe C:\ BackDoor.IRC.Sdbot.3762
Base License.exe C:\Documents and Settings\All Users\Application Data\Move Bore Curb Tool Trojan.Swizzor.2873 Supprimé.
blah blue.exe C:\Documents and Settings\All Users\Application Data\Move Bore Curb Tool Trojan.Swizzor.based Supprimé.
defy mpeg.exe C:\Documents and Settings\All Users\Application Data\Move Bore Curb Tool Trojan.Swizzor.based Supprimé.
process.exe C:\HaxFix Tool.Prockill
invsecr.exe\invsecr.exe C:\parnasse19\security\Anti Trojans Hack\Invisible Secrets v4.6\iNViSiBLE\invsecr.exe Probablement BACKDOOR.Trojan
invsecr.exe C:\parnasse19\security\Anti Trojans Hack\Invisible Secrets v4.6\iNViSiBLE L'archive contient des éléments infectés
Uninstall.exe C:\Program Files\Circle Developement Trojan.Swizzor.based Supprimé.
Process.exe C:\SDFix\apps Tool.Prockill
cbXRHabY.dll C:\WINDOWS\system32 Trojan.DownLoad.25698 Supprimé.
cbXRKEvV.dll C:\WINDOWS\system32 Trojan.Virtumod.1466 Supprimé.
cmdow.exe C:\WINDOWS\system32 Tool.HideWindows - erreur de lecture
ddcBqoml.dll C:\WINDOWS\system32 Trojan.Virtumod.1466 Supprimé.
ejnhfson.dll C:\WINDOWS\system32 Trojan.Virtumod.854 Supprimé.
fccCSlLe.dll C:\WINDOWS\system32 Trojan.DownLoad.25698 Impossible de désinfecter
helpersvscs.0xe C:\WINDOWS\system32 BackDoor.Mailbot.42 Supprimé.
iiffEwXp.dll C:\WINDOWS\system32 Trojan.Virtumod.1466 Supprimé.
khectibh.dll C:\WINDOWS\system32 Trojan.Virtumod.854 Supprimé.
ljJDSJCR.dll C:\WINDOWS\system32 Trojan.DownLoad.25698 Supprimé.
mldmm.0xe C:\WINDOWS\system32 BackDoor.IRC.Sdbot.3762 Supprimé.
mlJDsQIc.dll C:\WINDOWS\system32 Trojan.Virtumod.1466 Supprimé.
Process.exe C:\WINDOWS\system32 Tool.Prockill
qoMgETnK.dll C:\WINDOWS\system32 Trojan.Virtumod.1466 Supprimé.
qvcj.exe C:\WINDOWS\system32 BackDoor.IRC.Sdbot.3762 Supprimé.
rqRKDwxx.dll C:\WINDOWS\system32 Trojan.DownLoad.25698 Supprimé.
srtcmljr.dll C:\WINDOWS\system32 Trojan.Juan.60 Supprimé.
TaskKillS.exe C:\WINDOWS\system32 Tool.Killproc
tuvSkIxu.dll C:\WINDOWS\system32 Trojan.DownLoad.25698 Supprimé.
vtUmKEWq.dll C:\WINDOWS\system32 Trojan.Virtumod.855 Supprimé.
wvUoNDvU.dll C:\WINDOWS\system32 Trojan.DownLoad.25698 Supprimé.
yaywuvTN.dll C:\WINDOWS\system32 Trojan.Virtumod.1466 Supprimé.
Process.exe C:\WINDOWS\system_backup Tool.Prockill
ntpnzlao.exe C:\_OTMoveIt\MovedFiles\12182008_201534\WINDOWS Trojan.DownLoad.12588 Supprimé.
svscs.exe C:\_OTMoveIt\MovedFiles\12182008_201534\WINDOWS\system32 Trojan.Inject.5299 Supprimé.
0
kimbrador
18 déc. 2008 à 12:28
bonjour destrio voila le rapport que j'ai deja posté a lyonnais

Rapport de ZHPDiag v1.16 par Nicolas Coolman
Enregistré le 19/12/2008 12:10:32
Platform : Unknown
Platform : Unknown

---\\ Processus lancés
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
rundll32.exe

---\\ Modification d'une valeur System.ini (F2)
F2 - REG:system.ini: UserInit=
F2 - REG:system.ini: Shell=

---\\ Pages de démarrage d'Internet Explorer (R0)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

---\\ Applications démarrées automatiquement par le registre (O4)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\DOCUME~1\selim\LOCALS~1\Temp\tuvVoPGX.dll,c
O4 - HKCU\..\Run: [MS Juan] rundll32 "C:\DOCUME~1\selim\LOCALS~1\Temp\bfuwzq.dll",run

---\\ Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

---\\ Déni du service Local Security Authority (LSA) (O48)
O48 - LSA:Local Security Authority Authentication Packages -
O48 - LSA:Local Security Authority Notification Packages -


End of the scan:
0
Réponse 28 / 63
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
18 déc. 2008 à 09:57
Bonjour,

pour avancer Destrio,

peux tu remettre un rapport ZHPDiag.
0
kimbrador
18 déc. 2008 à 12:12
bonjour

voila le rapport chef :

Rapport de ZHPDiag v1.16 par Nicolas Coolman
Enregistré le 19/12/2008 12:10:32
Platform : Unknown
Platform : Unknown

---\\ Processus lancés
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
rundll32.exe

---\\ Modification d'une valeur System.ini (F2)
F2 - REG:system.ini: UserInit=
F2 - REG:system.ini: Shell=

---\\ Pages de démarrage d'Internet Explorer (R0)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

---\\ Applications démarrées automatiquement par le registre (O4)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\DOCUME~1\selim\LOCALS~1\Temp\tuvVoPGX.dll,c
O4 - HKCU\..\Run: [MS Juan] rundll32 "C:\DOCUME~1\selim\LOCALS~1\Temp\bfuwzq.dll",run

---\\ Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

---\\ Déni du service Local Security Authority (LSA) (O48)
O48 - LSA:Local Security Authority Authentication Packages -
O48 - LSA:Local Security Authority Notification Packages -


End of the scan:
0
kimbrador
18 déc. 2008 à 16:41
et voila qu'est ce qu'il ma donner comme rapport du scannage avec DR.WEB que j'ai fais maintenant

fcccslle.dll c:\windows\system32 Trojan.DownLoad.25698 Impossible de désinfecter
fccCSlLe.dll C:\WINDOWS\system32 Trojan.DownLoad.25698 Impossible de désinfecter
Process.exe C:\WINDOWS\system32 Tool.Prockill Irréparable.Supprimé.
TaskKillS.exe C:\WINDOWS\system32 Tool.Killproc Irréparable.Supprimé.
iri.exe C:\ Trojan.Inject.5299 - erreur d'écriture - erreur d'écriture - erreur d'écriture Impossible de supprimer.
okea.exe C:\ BackDoor.IRC.Sdbot.3762 - erreur d'écriture - erreur d'écriture - erreur d'écriture Impossible de supprimer.
system43.exe C:\ Trojan.Inject.5299 - erreur d'écriture - erreur d'écriture - erreur d'écriture Impossible de supprimer.
system9.exe C:\ Trojan.Inject.5299 - erreur d'écriture - erreur d'écriture - erreur d'écriture Impossible de supprimer.
xx.exe C:\ BackDoor.IRC.Sdbot.3762 - erreur d'écriture - erreur d'écriture - erreur d'écriture Impossible de supprimer.
fcccslle.dll c:\windows\system32 Trojan.DownLoad.25698 Impossible de désinfecter
0
Réponse 29 / 63
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
18 déc. 2008 à 16:46
---> Télécharge GMER :
http://www2.gmer.net/gmer.zip

---> Extrais le contenu du ZIP puis renomme "gmer.exe" en "bypass.exe"

---> Onglet "Rootkit" ; clique sur "Scan" puis patiente.

---> En fin de traitement, clique sur "Save..." et enregistre sur ton Bureau "301108.txt".

---> Double-clique sur "301108.txt" ; le rapport apparaît, poste-le.
0
kimbrador
18 déc. 2008 à 17:03
non ca n a pas marché le "bypass.exe" boite de message " acces refusé"
0
Réponse 30 / 63
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
18 déc. 2008 à 17:05
Pour le renommer ou pour le lancer ?
0
kimbrador
18 déc. 2008 à 17:18
non mais je l'ai renommé mais lorsque je l'est executé

1) il a demarré avec son premier non "Gmer"
2) lorsque j 'ai cliqué sur "scan" il m'a affiché le message : "acces refusé"
0
Réponse 31 / 63
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
18 déc. 2008 à 17:39
---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :





:processes
explorer.exe

:files
C:\iri.exe
C:\okea.exe
C:\system43.exe
C:\system9.exe
C:\xx.exe
c:\windows\system32\fcccslle.dll

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
0
kimbrador
18 déc. 2008 à 18:55
bon j'ai lancé le prog et il ma demandé de redémarrer ,j'ai redé ( cliqué sur YES )

et en démarrant il ma affiché un nouveau message

"RUN ALL

erreur de chargement de C:\ docum~1\selim\locals~1\Temp\TuvVoPGX.dll

le module spécifié est introuvable "

et voila le rapport:


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File move failed. C:\iri.exe scheduled to be moved on reboot.
File move failed. C:\okea.exe scheduled to be moved on reboot.
File move failed. C:\system43.exe scheduled to be moved on reboot.
File move failed. C:\system9.exe scheduled to be moved on reboot.
File move failed. C:\xx.exe scheduled to be moved on reboot.
DllUnregisterServer procedure not found in c:\windows\system32\fccCSlLe.dll
c:\windows\system32\fccCSlLe.dll NOT unregistered.
File move failed. c:\windows\system32\fccCSlLe.dll scheduled to be moved on reboot.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\selim\LOCALS~1\Temp\RarSFX0\setup.exe scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\selim\LOCALS~1\Temp\RarSFX0\_start.exe scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\selim\LOCALS~1\Temp\npeldp.dll scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\selim\LOCALS~1\Temp\~DFAB53.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.0 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.1 scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12192008_181949

Files moved on Reboot...
File move failed. C:\iri.exe scheduled to be moved on reboot.
File move failed. C:\okea.exe scheduled to be moved on reboot.
File move failed. C:\system43.exe scheduled to be moved on reboot.
File move failed. C:\system9.exe scheduled to be moved on reboot.
File move failed. C:\xx.exe scheduled to be moved on reboot.
DllUnregisterServer procedure not found in c:\windows\system32\fccCSlLe.dll
c:\windows\system32\fccCSlLe.dll NOT unregistered.
File move failed. c:\windows\system32\fccCSlLe.dll scheduled to be moved on reboot.
C:\DOCUME~1\selim\LOCALS~1\Temp\RarSFX0\setup.exe moved successfully.
C:\DOCUME~1\selim\LOCALS~1\Temp\RarSFX0\_start.exe moved successfully.
DllUnregisterServer procedure not found in C:\DOCUME~1\selim\LOCALS~1\Temp\npeldp.dll
C:\DOCUME~1\selim\LOCALS~1\Temp\npeldp.dll NOT unregistered.
C:\DOCUME~1\selim\LOCALS~1\Temp\npeldp.dll moved successfully.
C:\DOCUME~1\selim\LOCALS~1\Temp\~DFAB53.tmp moved successfully.
File move failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.0 scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.1 scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_001_ scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_002_ scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_003_ scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_MAP_ scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\XUL.mfl scheduled to be moved on reboot.
0
Réponse 32 / 63
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
18 déc. 2008 à 18:56
Ok, fais la manip' en mode sans échec.
0
kimbrador
18 déc. 2008 à 20:14
et voila le rapport avec la mode sans echec :


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File move failed. C:\iri.exe scheduled to be moved on reboot.
File move failed. C:\okea.exe scheduled to be moved on reboot.
File move failed. C:\system43.exe scheduled to be moved on reboot.
File move failed. C:\system9.exe scheduled to be moved on reboot.
File move failed. C:\xx.exe scheduled to be moved on reboot.
DllUnregisterServer procedure not found in c:\windows\system32\fccCSlLe.dll
c:\windows\system32\fccCSlLe.dll NOT unregistered.
File move failed. c:\windows\system32\fccCSlLe.dll scheduled to be moved on reboot.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.0 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.1 scheduled to be deleted on reboot.
Windows Temp folder emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12192008_200701

Files moved on Reboot...
File move failed. C:\iri.exe scheduled to be moved on reboot.
File move failed. C:\okea.exe scheduled to be moved on reboot.
File move failed. C:\system43.exe scheduled to be moved on reboot.
File move failed. C:\system9.exe scheduled to be moved on reboot.
File move failed. C:\xx.exe scheduled to be moved on reboot.
DllUnregisterServer procedure not found in c:\windows\system32\fccCSlLe.dll
c:\windows\system32\fccCSlLe.dll NOT unregistered.
File move failed. c:\windows\system32\fccCSlLe.dll scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.0 scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.1 scheduled to be moved on reboot.
0
kimbrador
18 déc. 2008 à 21:54
bonsoir destrio5

voila quest ce que j'ai comme reponse



voila en cliquant sur "exécuter" dans le prog une 1ere boite de message s est affiché


"error

c ant open file`c:\slgwcdjr.txt
( error 5:acces refusé )

en cliquant sur ok

une 2eme boite s affiche

"error

could not open script file
aborting execution (error 6 : descripteur non valide)
0
Réponse 33 / 63
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
18 déc. 2008 à 20:15
Lyonnais92 te fera une procédure dans la soirée ;)
0
Réponse 34 / 63
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
18 déc. 2008 à 20:34
Bonsoir,

la manip annoncée par Destrio :

1. Télécharge The Avenger par Swandog46 sur le Bureau

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):



Files to delete:
C:\iri.exe
C:\okea.exe
C:\system43.exe
C:\system9.exe
C:\xx.exe
c:\windows\system32\fcccslle.dll
C:\DOCUME~1\selim\LOCALS~1\Temp\tuvVoPGX.dll
C:\DOCUME~1\selim\LOCALS~1\Temp\bfuwzq.dll
C:\WINDOWS\system32\drivers\mrxdavv.sys


IMPORTANT : Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" est cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
0
kimbrador
18 déc. 2008 à 21:41
bonsoir lyonnais

voila en cliquant sur "exécuter" dans le prog une 1ere boite de message s est affiché


"error

c ant open file`c:\slgwcdjr.txt
( error 5:acces refusé )

en cliquant sur ok

une 2eme boite s affiche

"error

could not open script file
aborting execution (error 6 : descripteur non valide)
0
Réponse 35 / 63
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
18 déc. 2008 à 21:57
Oui, j'ai vu.

Tu n'as pas le CD de Windows ?
0
kimbrador
18 déc. 2008 à 22:06
non désolé j'ai de CD
0
Réponse 36 / 63
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
18 déc. 2008 à 22:02
Re,

si tu peux faire Démarrer, exécuter, tu tapes ceci dans la zone de saisie : 

avenger.exe /nogui /scan /reboot
0
kimbrador
18 déc. 2008 à 22:20
bon avec démarrer / executer ,le resultat est : "windows ne trouve pas avenger.exe/nogui/scan/reboot"

et en relancant avenger puis "executer" le resultat est " no script has been entered .do you want to execute a rootkit scan only "
0
Réponse 37 / 63
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
18 déc. 2008 à 22:21
Il est de quelle marque ton PC ?
0
kimbrador
18 déc. 2008 à 22:27
c'est un ordinateur portable de marque MEDION
0
Réponse 38 / 63
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
18 déc. 2008 à 22:35
Re,

tu réponds yes à la question "do you want to execute a rootkit scan only "
0
kimbrador
18 déc. 2008 à 22:43
la réponse est :" error : c ant open file`c:/rnudsin.txt
(error 5: acces refusé)
0
Réponse 39 / 63
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
18 déc. 2008 à 23:40
Re,

on réessaye avec la procédure en ligne de commande.

Attention : 

avenger.exe /nogui /scan /reboot


n'est pas

avenger.exe/nogui/scan/reboot

Essaye avec 


C:\Documents and Settings\selim\Bureau\avenger.exe /nogui /scan /reboot
0
kimbrador
19 déc. 2008 à 00:03
je suis désolé lyonnais mais c la meme chose


"windows ne trouve pas `c:\documents `verifiez que vous avez entrez le bon nom ........"
0
Réponse 40 / 63
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
19 déc. 2008 à 00:42
Dis-moi, tu n'as jamais formaté et réinstallé Windows ?
0
kimbrador
19 déc. 2008 à 11:57
si il a été formaté l'ordi par ce que au debut il y avait vista comme system et apres ils lui ont installé windows XP PRO NB : c est pas moi qu'il a formaté est réinstallé windo

merci
0

Discussions similaires

Utilité du dialer
Cocodenso -
Nico le Vosgien -

1 réponse
numéroteur dialer
cfslyb -
cfslyb -

2 réponses
Qu'est-ce qu'un dialers
poty -
loulou801 -

3 réponses
utiliser mobile samsung android comme modem
pookie80 -
brupala -

2 réponses
Qu est ce que android dialer, a quoi ça sert ??
Orangemecanique -
Lalaloulou -

4 réponses
questions sur des applications inconnues
sosodu79 -
BunoCS -

3 réponses