Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Demande d'aide Virus Trojan

selor

Par selor
dans Analyses et éradication malwares

 Partager

Messages recommandés

selor Junior Member

selor

Posté(e)
Posté(e)

Bonjour,

 

J'ai betement cliquer sur un lien que l'ont ma envoyé par MSN et en suivant ce lien j'ai ete infecté par un ou des trojans.

 

Voici ce que j'ai fait pour le moment :

 

1 Desinstalle MSN completement Script y compris le temps de se debarasser du virus.

 

2 Installer Hijackthis et fait un scan que je vous colle a la suite

 

3 Desinstaller mon antivirus minable Avast qui ne detectais rien et installe Antivir d'Avira sur les conseils d'un ami

 

 

 

RAPPORT ANTIVIR /

 

 

 

AntiVir PersonalEdition Classic

Report file date: lundi 3 mars 2008 18:01

 

Scanning for 1131710 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: SYSTEM

Computer name: NOM-A7588AF393B

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 16:14:43

ANTIVIR2.VDF : 7.0.2.181 1993728 Bytes 24/02/2008 16:14:43

ANTIVIR3.VDF : 7.0.2.225 154112 Bytes 03/03/2008 16:12:40

AVEWIN32.DLL : 7.6.0.73 3334656 Bytes 02/03/2008 16:14:44

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 02/03/2008 16:14:44

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: D:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: lundi 3 mars 2008 18:01

 

Starting search for hidden objects.

services.exe

[NOTE] The process is not visible.

'66067' objects were checked, '1' hidden objects were found.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'usnsvc.exe' - '1' Module(s) have been scanned

Scan process 'iPodService.exe' - '1' Module(s) have been scanned

Scan process 'PSNGive.exe' - '1' Module(s) have been scanned

Scan process 'FxSvr2.exe' - '1' Module(s) have been scanned

Scan process 'PsnLite.exe' - '1' Module(s) have been scanned

Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned

Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned

Scan process 'NCLAUNCH.EXe' - '1' Module(s) have been scanned

Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'LogiTray.exe' - '1' Module(s) have been scanned

Scan process 'LVCOMSX.EXE' - '1' Module(s) have been scanned

Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'winvnc4.exe' - '1' Module(s) have been scanned

Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'spnsrvnt.exe' - '1' Module(s) have been scanned

Scan process 'EMP_UDSA.exe' - '1' Module(s) have been scanned

Scan process 'EMP_NSWLSV.exe' - '1' Module(s) have been scanned

Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'aawservice.exe' - '1' Module(s) have been scanned

Scan process 'symlcsvc.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

40 processes with 40 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[NOTE] No virus was found!

Master boot sector HD1

[NOTE] No virus was found!

[WARNING] The boot sector file could not be read!

[WARNING] Error code: 0x0015

Master boot sector HD2

[NOTE] No virus was found!

[WARNING] The boot sector file could not be read!

[WARNING] Error code: 0x0015

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

C:\Documents and Settings\Julien\Local Settings\Temp\services.exe

[WARNING] The file could not be opened!

The registry was scanned ( '38' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <VAIO>

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\Julien\Local Settings\Application Data\Mozilla\Firefox\Profilesn10thi.default\Cache\492691A9d01

[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen

[iNFO] The file was moved to '47fe3031.qua'!

C:\Documents and Settings\Julien\Local Settings\Application Data\Mozilla\Firefox\Profilesn10thi.default\Cache\ADE356D9d01

[0] Archive type: CAB (Microsoft)

--> psnflg.dll

[DETECTION] Is the Trojan horse TR/Agent.bux.1

[iNFO] The file was moved to '4811304a.qua'!

C:\Documents and Settings\Julien\Local Settings\Application Data\Mozilla\Firefox\Profilesn10thi.default\Cache\F72E2089d01

[0] Archive type: CAB (Microsoft)

--> pskavs.dll

[DETECTION] Contains detection pattern of the Windows virus W95/Bumble

[iNFO] The file was moved to '47fe3042.qua'!

C:\Documents and Settings\Julien\Local Settings\Temp\services.exe

[WARNING] The file could not be opened!

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcrst.dll

[WARNING] The file could not be opened!

C:\Program Files\Panda Security\TotalScan\ascuninst.exe

[WARNING] The file could not be opened!

Begin scan in 'D:\' <VAIO>

 

 

End of the scan: lundi 3 mars 2008 19:00

Used time: 59:46 min

 

The scan has been done completely.

 

7136 Scanning directories

268816 Files were scanned

3 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

3 files were moved to quarantine

0 files were renamed

6 Files cannot be scanned

268813 Files not concerned

7191 Archives were scanned

6 Warnings

10 Notes

66067 Objects were scanned with rootkit scan

1 Hidden objects were found

 

 

 

 

 

RAPPORT HIJACKTHIS

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:05:46, on 03/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\EPSON Projector\EMP NS Connection V2\EMP_NSWLSV.exe

C:\Program Files\EPSON Projector\EPSON USB Display V1.0\EMP_UDSA.exe

C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\RealVNC\VNC4\WinVNC4.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\NCLAUNCH.EXe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\3M\PSNLite\PsnLite.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\PROGRA~1\3M\PSNLite\PSNGive.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Julien\LOCALS~1\Temp\services.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [iMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunOnce: [MessengerPlusLiveUninstall] "C:\DOCUME~1\Julien\LOCALS~1\Temp\MsgPlusUninstall.exe" /Cleanup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Transfert par Image Converter 3 - C:\PROGRAM FILES\SONY\IMAGE CONVERTER 3\menu.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=https://smb-support.vaio-link.com/eSupport/PortalJSP/Portal.jsp

O17 - HKLM\System\CCS\Services\Tcpip\..\{331F108A-856B-43A7-9D34-3F8F4B6DF1F1}: NameServer = 192.168.1.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: EMP_NSWLSV - SEIKO EPSON CORPORATION - C:\Program Files\EPSON Projector\EMP NS Connection V2\EMP_NSWLSV.exe

O23 - Service: EMP_UDSA - Unknown owner - C:\Program Files\EPSON Projector\EPSON USB Display V1.0\EMP_UDSA.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Image Converter SCSI Service (ICScsiSV) - Sony Corporation - C:\Program Files\Sony\IMAGE CONVERTER 3\ICScsiSV.exe

O23 - Service: IcVzMonLauncher - Sony Corporation - C:\Program Files\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe

O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Program Files\Sony\IMAGE CONVERTER 3\IcVzMon.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: Connection Manager (Nomad) - Unknown owner - C:\Program Files\BVRP Connection Manager\NomadSvr.exe (file missing)

O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

 

--

End of file - 9575 bytes

 

 

 

Pour le moment je ne fait rien j'attend votre aide merci beaucoup :P

Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Ton pc est très infecté; on va voir ce qu'on peut faire pour soigner ça.

 

1.Désinstalle complètement Messenger Plus! Tu le réinstalleras plus tard en veillant bien à cocher la case: "Je refuse d'apporter mon soutien" (ne pas installer le sponsor)

 

2.Ensuite, lance Hijackthis et clique sur "Do a system scan only", coche les cases devant les lignes suivantes et uniquement celles-là:

 

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Julien\LOCALS~1\Temp\services.exe

O4 - HKLM\..\RunOnce: [MessengerPlusLiveUninstall] "C:\DOCUME~1\Julien\LOCALS~1\Temp\MsgPlusUninstall.exe" /Cleanup

O4 - HKLM\..\Run: [iMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

 

Ferme toutes les applications en cours sauf Hijackthis et clique sur "Fix Checked"

 

3. Pour éliminer ctfmon.exe au démarrage:

 

Panneau de configuration >>> Options régionales et linguistiques >>> Langues >>> Détails >>> Barre de langue >>> Cocher la case "Arrêtez les services de texte avancés"

 

4. Stp rends- toi sur cette page afin de télécharger Winreg5.reg

 

> http://www.sendspace.com/file/kuh6q7

pour cela, clique sur le lien en bas de page > pointright.gifDownload Link: Winreg5.reg et enregistre-le sur le bureau

 

Enregistre le fichier Reg sur le bureau; il ressemblera à ceci:

img-080750yefxv.jpg

 

Double-clique sur ce fichier et accepte la fusion dans le registre; cela dure une fraction de seconde.

 

Tu peux ensuite mettre le fichier Winreg5 à la corbeille et vider celle-ci.

 

Redémarre ton pc.

 

Faire un scan en ligne avec F-Secure

 

Cliquer sur Start Scanning , choisir la langue.

 

Accepter la licence et installer l'Active X (Seulement pour Explorer).

 

Ton antivirus peut réagir: désactiver la protection résidente le temps du scan; choisir Analyse complète

 

Après le nettoyage, demande le rapport que tu copies/colles dans ta prochaine réponse ainsi qu'un nouveau log Hijackthis.

 

Suis bien les étapes et cela devrait bien se passer :P

 

Bon courage!

@ plus tard.

Modifié par angelique
Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Encore une manipulation avant de faire le scan en ligne stp:

 

Télécharger OTMoveIt2 par OldTimer.

 

http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

 

* Enregistrer ce fichier sur le Bureau.

* Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).

* Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

c:\docume~1\julien\locals~1\temp\services.exe
c:\docume~1\julien\locals~1\temp\msgplusuninstall.exe

* Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller.

* Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

EmptyTemp

* Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Custom List Of Files/Patterns To Move" (sous la barre jaune) puis choisir Coller.

* Cliquer sur le bouton rouge Moveit!.

* Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum.

* Fermer OTMoveIt2

 

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.

 

Allez, on l'aura. :P

Modifié par angelique
Lien OTmoveIT
selor Junior Member

selor

Posté(e)
  • Auteur
Posté(e)

Bonjour et merci beaucoup Appollo

 

Pour les premieres etapes c'est fait .

 

Apres reboot avant letape Fsecure Antivir redetecte toujours le meme virus et je les met en quarantaine voici le screen :

Screen 1

 

Et ma quarantaine de Antivir contient toujours tout ca :

 

Screen 2

 

Test de scan en ligne F secure en cours quand se sera finit je poste un nouveau scan de Hijackthis merci encore de laide

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour selor, Angélique :P

 

Désolé je n'avais pas cette procédure, j'ai trouvé un lien vers un "2" mais pas le can.

 

selor, reviens sur le post précédent édité par Angélique et suis rigoureusement ses conseils :P

 

@ + tard.

angelique Devil Member !

angelique

Posté(e)
Posté(e)

'jour Apollo.01

 

qu'il fasse ceci aussi :

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix.

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

 

 

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!)

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire)

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

selor Junior Member

selor

Posté(e)
  • Auteur
Posté(e)

voici le rapport de Moveit grr trop chiant ce vers :P:P:

 

je fait letape de Sdfix pendant ce temps mais au demarage apres moveit 3 detections d'executables mis en quarantaine par Antivir et jai refuser les modif de registre detectees par le Daemon de Spybot . Le virus voulais ajouter des entrees dans le Startup aparement.

 

 

RAPPORT MOVEIT

 

File move failed. c:\docume~1\julien\locals~1\temp\services.exe scheduled to be moved on reboot.

File/Folder c:\docume~1\julien\locals~1\temp\msgplusuninstall.exe not found.

[Custom Input]

< EmptyTemp >

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\nvcbin.def.6B48292D.TMP scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\services.exe scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\~DFFE4A.tmp scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\AVPFPI0.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\avpproxy.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fm4av.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fpinor.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsecr32.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgkiapi.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fspe32.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fssc.fsd scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fssubmit.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsup32.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsupcx32.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsupfg32.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsupmw32.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsupnp32.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsupux32.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsupwu32.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsusscr.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fswinmlc.db scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\Nse_w32.dll scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Julien\LOCALS~1\Temp\OnlineScanner\Anti-Virus\perf.dat scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\inf1clrg.tmp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\spnserv.dat scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\spserv.dat scheduled to be deleted on reboot.

Temp folders emptied.

IE temp folders emptied.

 

OTMoveIt2 v1.0.20 log created on 03042008_154256

selor Junior Member

selor

Posté(e)
  • Auteur
Posté(e)

RAPPORT SDFIX

 

 

SDFix: Version 1.152

 

Run by Julien on 04/03/2008 at 16:17

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\DOCUME~1\Julien\LOCALS~1\Temp\services.exe - Deleted

C:\WINDOWS\system32\real.txt - Deleted

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-04 16:23:27

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 524

 

 

Remaining Services :

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Disabled:Windows Messenger"

"C:\\Program Files\\Fichiers communs\\SafeNet Sentinel\\Sentinel Protection Server\\WinNT\\spnsrvnt.exe"="C:\\Program Files\\Fichiers communs\\SafeNet Sentinel\\Sentinel Protection Server\\WinNT\\spnsrvnt.exe:*:Enabled:Sentinel Protection Server"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Documents and Settings\\Julien\\Bureau\\utorrent.exe"="C:\\Documents and Settings\\Julien\\Bureau\\utorrent.exe:*:Enabled:æTorrent"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"C:\\Program Files\\utorrent\\utorrent.exe"="C:\\Program Files\\utorrent\\utorrent.exe:*:Enabled:æTorrent"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\DOCUME~1\\Julien\\LOCALS~1\\Temp\\services.exe"="C:\\DOCUME~1\\Julien\\LOCALS~1\\Temp\\services.exe:*:Enabled:Flash Media"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Sat 5 Aug 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Sun 19 Nov 2006 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv10.bak"

Wed 15 Nov 2006 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv15.bak"

 

Finished!

 

 

JE relance un scan only et report faile de hijackthis dans mon prochain message

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...