Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Mon ordinateur est à nouveau infecté !

Nelo

Par Nelo
dans Analyses et éradication malwares

 Partager

Messages recommandés

Nelo Junior Member

Nelo

Posté(e)
Posté(e)

Bonjours je suis nelo et j'ai suivi votre procédure pour désinfécter mon ordinateur avec les logiciels comme anti vir ou spybot. mais j'ai eu plusieur problème après avoir fais tout se que vous avez conseillez de faire, LOrsque j'allume mon pc j'ai un message sur fond bleu qui me dis que il manque le fichier autochk.exe mais le pc démarre quand meme, ensuite tout a l'air de fonctioner et meme plus rapidement qu'avant mon UC est a 5% ^^

Mais ( oui il y a un mais ^^ ) des programme ou des dossier ne veulent plus s'afficher, lorsque je fais demarrer executer et que je tape par exemple regedit pour avoir le registre le registre apparait et disparait tout de suite !

De meme pour avg, et pour finir je ne peux plus faire de conversation video sur msn !

Aidez moi s'il vous plait je n'en peux plus de mon hp la !!!!

Lien vers le commentaire
Partager sur d’autres sites

Shaldrin Junior Member

Shaldrin

Posté(e)
Posté(e) (modifié)

Bonjour Nelo et bienvenue sur le forum de Zebulon.

 

Tu es a coup sûr infecté. Peux tu nous poster un log d'hiajckthis...

 

Du moment ou tu lance la Base de Registre ( BDR ) et que celle ci se referme aussitôt, tu es infecté....

 

Et l'exe qui te met une erreur au lancement est soit un virus que tu as supprimé mais il reste appelé au lancement; le fichier n'existant plus, il te met une erreur; normal, mais rien de genant; ou soit c'est un fichier systeme; mais qui n'empeche pas de rebooter.

 

Post le log et on verra pas la suite.

 

Cordialement !

Modifié par Shaldrin
Lien vers le commentaire
Partager sur d’autres sites
angelique Devil Member !

angelique

Posté(e)
Posté(e)

Je soupçonne un planification chkdsk au boot de ton pc,mais le autochk.exe est peut etre corrompu ou inexistant.

 

1/-verifies la presence de autochk.exe en system32

 

-->executer

 

%systemroot%\system32\autochk.exe <--est il present??

 

si non presence,inseres ton cd d'xp ds ton lecteur e: ou d: [tu adaptes la lettre ds la commande enfonction de la lettre de ton lecteur contenant le cd d'xp)

 

executer

cmd

copy d:\i386\autochk.exe c:\windows\system32\autochk.exe

 

2/executer

 

sfc /revert

 

3/tu posts ton log hijackthis afin qu'un MEMBRE SECURITE l'analyse!!

 

_________

 

Je deplace ton sujet ds la bonne section du forum

Lien vers le commentaire
Partager sur d’autres sites
Nelo Junior Member

Nelo

Posté(e)
  • Auteur
Posté(e)

D'accord merci beaucoup pour tout je vais tenter de faire sa mais est ce que sa me résoudra le probleme de me programme qui disparaissent ? et je ne sais pas se qu'est un :" log hijackthis "

Merci beaucoup pour l'aide je regrette pas d'etre venu ici !

Lien vers le commentaire
Partager sur d’autres sites
Nelo Junior Member

Nelo

Posté(e)
  • Auteur
Posté(e)

Voila le log :

 

Logfile of HijackThis v1.99.1

Scan saved at 13:02:04, on 30/08/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\System32\wkssvr.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\WDBtnMgr.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\Dantz\Retrospect\retrorun.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\WINDOWS\System32\DrvMon.exe

C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

C:\Program Files\SHARP\PixLab Lite Pack\SCPopup.exe

C:\Program Files\Microsoft Office\Office\OSA.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xdxjhklnsedn.com/3Aoz4LqOzrjSsF...GS2Z9vxisvs.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr5.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fnac.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fnac.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe wkssvr.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,wkssvr.exe

O1 - Hosts: localhost 127.0.0.1

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [syspanel] trycrt.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [keybdll] driver64.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s

O4 - HKLM\..\RunServices: [Windows Kernel System Service] wkssvr.exe

O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe

O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe

O4 - HKCU\..\Run: [fast shim] C:\DOCUME~1\PROPRI~1\APPLIC~1\AXISCD~1\Scr Exit.exe

O4 - HKCU\..\Run: [321102] nmdllw.exe

O4 - HKCU\..\Run: [ERTYDF] sound64.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\RunServices: [Windows Kernel System Service] wkssvr.exe

O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O4 - Global Startup: DSLMON.lnk.disabled

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe

O4 - Global Startup: SCPopup.lnk = C:\Program Files\SHARP\PixLab Lite Pack\SCPopup.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1135532270715

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A2B7D6D3-D9C0-4EE8-B204-A40F5F0EE4C4}: NameServer = 69.50.184.86,85.255.112.9

O17 - HKLM\System\CCS\Services\Tcpip\..\{BBE7AEED-05D2-4868-9D5D-5FA2414410E2}: NameServer = 69.50.184.86,85.255.112.9

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Program Files\Dantz\Retrospect\retrorun.exe

O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe

O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Que dois-je faire alors ??

Lien vers le commentaire
Partager sur d’autres sites
Shaldrin Junior Member

Shaldrin

Posté(e)
Posté(e)

Re alors, en fait ton virus est lance par l’exploreur.. donc supprime ces lignes ci-dessous :

 

F2 - REG:system.ini: Shell=Explorer.exe wkssvr.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,wkssvr.exe

O4 - HKLM\..\RunServices: [Windows Kernel System Service] wkssvr.exe

O4 - HKCU\..\RunServices: [Windows Kernel System Service] wkssvr.exe

 

 

 

Et ensuite, tu peux faire celle-ci :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xdxjhklnsedn.com/3Aoz4LqOzrjSsF...GS2Z9vxisvs.htm

 

O1 - Hosts: localhost 127.0.0.1

O2 - BHO: (no name) - AutorunsDisabled - (no file)

 

O4 - HKLM\..\Run: [syspanel] trycrt.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

 

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [keybdll] driver64.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

 

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

 

O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe

O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe

O4 - HKCU\..\Run: [fast shim] C:\DOCUME~1\PROPRI~1\APPLIC~1\AXISCD~1\Scr Exit.exe

O4 - HKCU\..\Run: [321102] nmdllw.exe

O4 - HKCU\..\Run: [ERTYDF] sound64.exe

 

O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

 

 

La plupart sont des programmes inutiles, et qui se lanceront tout seul, une fois appelé; inutile d’encombrer le démarrage avec.

 

 

Et là c’est tout… reboot ton post !! et dis nous !! si tu revois à nouveau le wkssvr.exe dans Hijackthis, c’est qu’il te faudra killer l’explorer pour agir avec Hijackthis. Je t’expliquerais à ce moment là.

Lien vers le commentaire
Partager sur d’autres sites
  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir Angelique :P , Shaldrin :P

 

@ Shaldrin :

C'est bien de vouloir analyser et proposer ton aide, mais fais attention à ne pas aller trop vite en besogne ; ne mélange pas sur un même post une désinfection et une optimisation. Tu risques d'oublier des fichiers infectieux en route, et ne plus savoir dans quelle direction aller, au détriment de la personne que tu as souhaité aider.

Essaie d'être plus rigoureux et méthodologique. Inspire toi de Charles Ingals, Jack Burton, Malekal_morte... (la liste serait longue) sur ce forum ou sur d'autres helpers dans d'autres forums réputés, il y a beaucoup à apprendre. :P

Lien vers le commentaire
Partager sur d’autres sites
  • Tonton a modifié le titre en Mon ordinateur est à nouveau infecté !

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...