Appel à l'aide

[Akira007]

salut

 

Akira007: là je suis encore au boulot, mais je te prépare une dernière procédure dès que possible pour éliminer un service qui résiste à la suppression. Je regarde tes rapports....

 

Ne te presse pas , c deja super tout ce que tu as fait on ordi va bien mieu

[Thanos]

re!

 

On va télécharger une autre version de ComboFix >

 

1) On désinstalle d'abord la version sur ton pc >

 

Passe par le Menu Démarrer>Exécuter> copie/colle ceci dans le champs >

 

"%userprofile%\Bureau\combofix.exe" /u

 

une fois ceci fait, clique sur le bouton OK > ComboFix va se lancer et un message va apparaitre te disant qu'il est supprimé > clique sur OK

 

2) Télécharge ComboFix depuis ce lien à présent et enregistre le sur ton bureau > http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

 

3) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/g14ykg

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Petites question bonus : Habituellement et depuis que j'ai mon PC , j'avais opté pour une solution de facilité lorsque j'avais un problème virus / sypware / trojan etc... A savoir restaurer mon système à une semaine passée après nettoyage de mon ordi avec anti virus et spybot.

En fait je crois que la réponse à ma question est dans ce topic , reste t il des traces des virus, trojan etc... après restauration du système ?

La réponse est...oui et non! Si jamais tu lances la restauration système et que tu choisis un point infecté, les malwares reviennent aussi sec!! Lorsqu'un pc est bien infecté, on laisse les points de restauration (bon et mauvais) car on est jamais à l'abri d'une mauvaise manip ou d'un plantage (une porte de secours si tu préfères !). Une fois la désinfection terminée, on élimine tous les points de restauration afin de ne pas réinfecter le pc en cas de souci. Il est donc préférable d'oublier la restauration système pour le moment car elle présente un risque. On va en venir à bout

 

On désinstallera aussi Norman autrement après ca .

[Akira007]

Allo Walnut Grove ici Akira007 j'ai un problème ^^;

 

J'ai bien tout suivi comme a la coutume et lorsque je glisse le script vers combofix voici le message d'erreur :

 

"error : some installation files are corrupt, please download a fresh copy and retry the installation"

 

Y aurait il un autre link pour Combofix ?

 

Merci. aki

[Thanos]

ahhh! élimine de nouveau ComboFix > le fichier ComboFix.exe sur ton bureau et élimine aussi les rapports ComboFix.txt dans C:\ et le dossier Qoobox et le fichier Qoobox.zip

 

Télécharge le depuis ce lien stp > http://subs.geekstogo.com/Beta/ComboFix.exe

 

Dis moi ce qu'il en est

[Akira007]

c'est bon j'ai mon rapport

 

ComboFix 07-12-17.1 - Lionel 2007-12-17 23:01:36.5 - NTFSx86 NETWORK

Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.151 [GMT 1:00]

Running from: C:\Documents and Settings\Lionel\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Lionel\Bureau\CFScript.txt

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\drivers\cirlkdbc.dat

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_UDXGSEOS

-------\udxgseos

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-17 to 2007-12-17 ))))))))))))))))))))))))))))))))))))

.

 

2007-12-17 15:02 . 2007-12-17 15:02 <REP> d-------- C:\WINDOWS\ERUNT

2007-12-17 04:33 . 2007-12-17 05:58 <REP> d-------- C:\WINDOWS\system32\ActiveScan

2007-12-17 04:33 . 2007-12-17 04:33 30,590 --a------ C:\WINDOWS\system32\pavas.ico

2007-12-17 04:33 . 2007-12-17 04:33 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico

2007-12-17 04:33 . 2007-12-17 04:33 1,406 --a------ C:\WINDOWS\system32\Help.ico

2007-12-17 03:19 . 2007-12-17 05:47 64,414,238 --a------ C:\qoobox.zip

2007-12-17 03:01 . 2004-03-10 19:01 608,256 -----c--- C:\WINDOWS\system32\dllcache\xpsp2res.dll

2007-12-17 03:01 . 2004-03-30 02:49 593,408 --a------ C:\WINDOWS\system32\h323msp.dll

2007-12-17 03:01 . 2004-03-30 02:49 552,448 --a------ C:\WINDOWS\system32\rtcdll.dll

2007-12-17 03:01 . 2004-03-30 02:49 441,344 --a------ C:\WINDOWS\system32\ipnathlp.dll

2007-12-17 03:01 . 2004-03-30 02:49 254,464 --a------ C:\WINDOWS\system32\h323.tsp

2007-12-17 03:01 . 2004-03-30 02:49 40,960 -----c--- C:\WINDOWS\system32\dllcache\evtgprov.dll

2007-12-17 03:01 . 2004-03-30 02:49 36,864 --a------ C:\WINDOWS\system32\mf3216.dll

2007-12-16 06:38 . 2007-12-16 06:38 <REP> d-------- C:\Documents and Settings\Lionel\Application Data\Grisoft

2007-12-16 06:37 . 2007-12-16 06:37 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2007-12-16 06:37 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-12-16 06:25 . 2007-12-16 16:58 <REP> d-------- C:\Program Files\Spyware Doctor

2007-12-16 06:25 . 2007-12-16 06:25 <REP> d-------- C:\Documents and Settings\Lionel\Application Data\PC Tools

2007-12-16 06:25 . 2007-12-16 06:27 74,240 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2007-12-16 06:25 . 2007-12-16 06:27 56,832 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2007-12-16 06:25 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2007-12-16 06:25 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2007-12-16 05:12 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui

2007-12-16 05:12 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui

2007-12-16 05:12 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui

2007-12-16 05:12 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui

2007-12-16 03:28 . 2007-12-16 03:28 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll

2007-12-16 03:28 . 2007-12-16 03:28 246,545 --a------ C:\WINDOWS\system32\libssl32.dll

2007-12-16 01:13 . 2007-12-17 23:07 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2007-12-16 01:13 . 2007-12-16 01:13 1,409 --a------ C:\WINDOWS\QTFont.for

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-12-17 04:46 --------- d-----w C:\Program Files\QuickTime

2007-12-16 02:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\Zylom

2007-11-23 13:31 --------- d--h--w C:\Program Files\InstallShield Installation Information

2005-12-11 17:45 64,144 -c--a-w C:\Documents and Settings\Lionel\Application Data\GDIPFONTCACHEV1.DAT

2005-09-17 14:36 10,340 -c-ha-w C:\Documents and Settings\All Users\Application Data\index0.dat

1999-12-13 12:38 135,168 ----a-w C:\WINDOWS\inf\Agfa\message.exe

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2005-10-13 00:24]

"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-03-13 13:35]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="RUNDLL32.exe" [2002-08-30 13:00 C:\WINDOWS\system32\rundll32.exe]

"nwiz"="nwiz.exe" [2002-11-18 14:15 C:\WINDOWS\system32\nwiz.exe]

"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2003-06-22 23:25]

"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2003-12-16 21:37]

"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2003-12-16 21:39]

"LogitechGalleryRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2003-12-16 21:37]

"NvMediaCenter"="RUNDLL32.exe" [2002-08-30 13:00 C:\WINDOWS\system32\rundll32.exe]

"ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 19:00]

"McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 02:50]

"Network Associates Error Reporting Service"="C:\Program Files\Fichiers communs\Network Associates\TalkBack\tbmon.exe" [2003-10-07 08:48]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-30 13:00]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="logonui.exe"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]

@=""

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]

@=""

 

R1 NaiAvTdi1;NaiAvTdi1;C:\WINDOWS\System32\drivers\mvstdi5x.sys [2004-12-23 19:00]

R3 st3bus28;st3bus28;C:\WINDOWS\System32\DRIVERS\st3bus28.sys [2002-12-28 11:16]

R3 st3mp28;st3mp28;C:\WINDOWS\System32\DRIVERS\st3mp28.sys [2002-12-28 11:16]

S0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys []

S1 hidfltr;HID Filter Driver;C:\WINDOWS\System32\DRIVERS\MWhid.sys [2004-07-22 10:44]

S1 tvtool;tvtool;C:\Program Files\TVTool 8\tvtool.sys []

S2 Ndiskio;Ndiskio;C:\NORMAN\nvc\NSE\NDISKIO.SYS []

S3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\System32\DRIVERS\AN983.sys [2002-10-28 09:23]

S3 DCamUSBSvis;Multimedia Camera Manager;C:\WINDOWS\System32\DRIVERS\dmstream.sys [2000-08-09 11:11]

S3 IADI;Nokia 5510 Device Interface Driver;C:\WINDOWS\System32\DRIVERS\IADI.SYS [2001-08-28 09:39]

S3 nvcfsr;nvcfsr;C:\NORMAN\nvc\BIN\nvcfsr.sys []

S3 nvcoafl51;nvcoafl51;C:\NORMAN\nvc\BIN\nvcoafl51.sys []

S3 nvcoaft51;nvcoaft51;C:\NORMAN\nvc\BIN\nvcoaft51.sys []

S3 nvcoarc51;nvcoarc51;C:\NORMAN\nvc\BIN\nvcoarc51.sys []

S3 scsiscan;Pilote de scanneur SCSI;C:\WINDOWS\System32\DRIVERS\scsiscan.sys [2001-08-17 20:53]

S3 SysInfo;SysInfo;C:\Program Files\PlayOnline\SquareEnix\PlayOnlineViewer\polcfg\SysInfo.sys [2007-03-07 20:51]

S3 V90drv;v90drv;C:\WINDOWS\System32\DRIVERS\v90drv.sys [2001-11-29 15:10]

 

*Newly Created Service* - ENTDRV51

.

**************************************************************************

 

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-17 23:07:46

Windows 5.1.2600 Service Pack 1 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

**************************************************************************

.

Completion time: 2007-12-17 23:14:08 - machine was rebooted

C:\ComboFix2.txt ... 2007-12-17 14:52

C:\ComboFix3.txt ... 2007-12-17 02:59

.

2007-12-17 02:02:20 --- E O F ---

 

 

Merci Aki.

[Thanos]

Très bien!! le service a été éliminé

 

On va pouvoir s'attaquer à Norman >

 

Télécharge nvcuninstall sur ton bureau. Attention! il est possible que ton antivirus t'avertisse sur ce fichier: autorise le à le télécharger

Double clique sur le fichier > ne tiens pas compte des erreurs qu'il affiche!

 

Une fois son travail terminé, poste moi un rapport hijackthis stp

[Akira007]

Alors pour Norman ca ne marche pas >< en effet j'ai aucun link qui passe pour effacer le fichier.

 

J'ai fait un rechercher le nom du fichier sur c:\ => introuvable

 

Petite question quand tu dis le service est effacé dans le message précédent parles tu de Serv-U FTP Server ? Si oui c'est cool

 

Voici mon dernier Hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:03:20, on 18/12/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\mcshield.exe

C:\Program Files\Network Associates\VirusScan\vstskmgr.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Fichiers communs\Network Associates\TalkBack\tbmon.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Lionel\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s13.invisionfree.com/hnmfr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\tbmon.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = ?

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Envoyer l'image vers la bibliothèque - file://C:\Program Files\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html

O8 - Extra context menu item: Ouvrir avec GetRight - C:/PROGRA~1/GETRIGHT/GRbrowse.htm

O8 - Extra context menu item: Télecharger avec GetRight - C:/PROGRA~1/GETRIGHT/GRdownload.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/cabs/ascstubie.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1170016502062

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O21 - SSODL: ffdshow - {85D76784-905B-9CB6-C966-D55AE933F785} - (no file)

O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\nvc\BIN\NJEEVES.EXE (file missing)

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe (file missing)

O23 - Service: Norman Virus Control on-access component (nvcoas) - Unknown owner - C:\NORMAN\nvc\BIN\nvcoas.exe (file missing)

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Unknown owner - C:\NORMAN\nvc\BIN\NVCSCHED.EXE (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

O23 - Service: Serv-U FTP Server (Serv-U) - Unknown owner - C:\winnt\system32\uop\ServUDaemon.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

--

End of file - 8436 bytes

 

 

Encore merci pour ton aide

[Thanos]

Ok pour le fichier de désinstallation de Norman! pas grave tu peux l'éliminer, on va faire autrement!

Petite question quand tu dis le service est effacé dans le message précédent parles tu de Serv-U FTP Server ? Si oui c'est cool

non! Serv-U FTP Server, ce n'est rien du tout! il s'agissait d'un service installé par une vilaine infection! celle là même qui résistait à la suppression.

 

Démarre Hijackthis,clique sur "Do a system scan only", et coche les lignes suivantes :

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

 

O21 - SSODL: ffdshow - {85D76784-905B-9CB6-C966-D55AE933F785} - (no file)

O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file)

-Clique sur "Fix Checked"

 

Un dernier scan en ligne, et je te laisse en paix >

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• clique une nouvelle fois sur "Accept"
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

Aide en cas de problème :Cybersécurité

 

NOTE: Le scan est à faire avec Internet Explorer.

 

Je te prépare une manip pour virer les services installés par Norman ainsi que Serv-U FTP Server

[Akira007]

Re

 

Haaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.....aaaaaaaaaaa !

 

J'ai fais tout le nécessaire pour effacer les fichiers comme demandé sous Hijackthis.

 

J'ai lancé mon scan en session normal ( quelle erreur ;^^; ) ! A 30 pourcent du scan, Viruscan m'annonce la présence d'un virus : pskill.exe (pas eu le temps de noter l'emplacement et je le retrouve pas dans mes rapports d'erreurs )

 

No problème le scan de mon UC se fait normalement , arrivé à 60 pourcent détection d'un virus par Kaspersky et précision de 3 fichiers infectés.

 

A 80 pourcent apres 2H00 de scan !!!!!!!!!!!!!!!!!!!!! haaaaaaaaaaaaaaaaaaaaaaaa Mon net plante, plus de réponse >.<

Obligé de kill ma fenetre avec CRTL ALT DEL en gestionnaire des programmes.

Ensuite comme lors de mon problème de base , impossibilité de lancer une application , obligé de rebooter a l'instant manuellement.

 

Je vais relancer de suite un scan en mode sans echec avec prise en charge du réseau.

 

Et j'espère ensuite te laisser en paix et non le contraire XDD

 

Bonne nuit si tu es déjà au lit , perso je pense que ma nuit va être longue comme hier.

 

nb: Non je ne fais pas expres de créer des problèmes pour monopoliser le forum lol

 

Voili voilo. Akira

Modifié le 18 décembre 2007 par Akira007

[Akira007]

Bonjour

 

suite du message

 

Voilà le rapport fait en mode sans echec avec prise en charge réseau.

 

Nb : je ne sais pas si cela a son importance mais je pense que Kaspersky ne prend pas en compte les fichiers cachés.

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Tuesday, December 18, 2007 4:38:12 AM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)

Kaspersky On-line Scanner version : 5.0.98.0

Dernière mise à jour de la base antivirus Kaspersky : 18/12/2007

Enregistrements dans la base antivirus Kaspersky : 485730

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: étendue

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Poste de travail:

A:\

C:\

D:\

E:\

F:\

 

Statistiques de l'analyse:

Total d'objets analysés: 101376

Nombre de virus trouvés: 5

Nombre d'objets infectés: 10

Nombre d'objets suspects: 0

Durée de l'analyse: 01:31:54

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\Lionel\Bureau\nvcuninstall.exe/data.rar/nvcuninstall/tools/pskill.exe Infecté : not-a-virus:RiskTool.Win32.PsKill.e ignoré

C:\Documents and Settings\Lionel\Bureau\nvcuninstall.exe/data.rar Infecté : not-a-virus:RiskTool.Win32.PsKill.e ignoré

C:\Documents and Settings\Lionel\Bureau\nvcuninstall.exe RarSFX: infecté - 2 ignoré

C:\Documents and Settings\Lionel\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Lionel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Lionel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Lionel\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Lionel\Local Settings\Historique\History.IE5\MSHist012007121820071219\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Lionel\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Lionel\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Lionel\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\qoobox.zip/qoobox/Quarantine/C/WINDOWS/NDNuninstall4_94.exe.vir Infecté : not-a-virus:AdWare.Win32.NewDotNet ignoré

C:\qoobox.zip/qoobox/Quarantine/C/WINDOWS/NDNuninstall5_20-1.exe.vir Infecté : not-a-virus:AdWare.Win32.NewDotNet ignoré

C:\qoobox.zip/qoobox/Quarantine/C/WINDOWS/system32/ci1gnt.exe.vir Infecté : Trojan.Win32.Agent.dhu ignoré

C:\qoobox.zip ZIP: infecté - 3 ignoré

C:\System Volume Information\_restore{628A185E-1087-4BFD-8F9D-B6FE94EA897B}\RP0\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\Gu[1]Cci.x Infecté : Backdoor.IRC.Zapchast ignoré

C:\WINDOWS\system32\Gu[2]Cci.x Infecté : Backdoor.IRC.Zapchast ignoré

C:\WINDOWS\system32\Gu[4]Cci.x Infecté : Net-Worm.Win32.Randon.ar ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

 

Analyse terminée.

 

Merci . Akira

 

EDIT du matin lool :

 

Je viens d'ouvrir une session , rebelote exactement comme au premier jour de mon post 15 minutes pour que tous mes icones s'affichent en bas a droite de ma barre windows et que pour que je puisse accéder aux applications.

 

Je fais un hijackthis pour le cas où ><et je me le sauvegarde si tu en as besoin.

 

Ce que je ne comprend pas , c'est que je n'ai pas surfer ou activer quoique ce soit depuis que j'ai posté ma demande d'aide

 

De plus le autoscan de mon virusScan est à nouveau désactivé tout seul ainsi que le téléchargement des mises à jours windows. Mon Ordi fait un bruit du tonnerre, en train de charger constamment.

 

Je commence un peu à désespérer lol

 

Bref bonne journée , je vais retourner me coucher et me reposer.

Modifié le 18 décembre 2007 par Akira007