comment suprimer ce virus de l'aide svp...

[meganomaniak]

Ma petite soeur sur son Pc vient de recevoir ce virus nomme TR/Dldr.Agent.hm

 

mais le probleme ce que son antivirus qui est antivir etait mal configurer et il se installer sur le pc

 

le probleme est que il est impossible de Config. antivir

 

de demarer le gestionnaire des taches quand je l'ouvre il se ferme aussi tot

 

il est impossible meme de lancer l'antivirus securer via internet

 

distes moi comment je peut faire pour le supprimer

 

@+

Modifié le 7 mars 2005 par meganomaniak

[ipl_001]

Bonsoir meganomaniak, bonsoir à tous,

 

tu ouvres ton explorateur, et tu vas dans :

c:\Windows\system32\

 

 

tu cherches le fichier taskmgr.exe

un fois que tu l'as trouvé, clic droit renommer en taskmgr.com

 

ensuite tu clique dessus, ton gestionnaire des tache marchera,

 

mais, ne pas oublier de faire le ménage ensuite pour supprimer, virus et malwares

emprunté à un ami !

[ipl_001]

Rebonsoir meganomaniak,

 

Commence par faire un peu de ménage dans ton système :

- fermeture de tous les programmes

- suppression des fichiers inutiles par

Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles

Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp

- suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

- examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent

- examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve

- examen antispyware par Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve

- examen antispyware par Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve.

 

Les malwares ordinaires ne devraient pas survivre à ce premier traitement !

 

----- Poster rapport HJT :

- télécharger HijackThis ( http://www.merijn.org/files/hijackthis.zip ).

(Foire Aux Questions / Frequently Asked Questions sur http://russelltexas.com/malware/faqhijackthis.htm)

- l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp ; instructions sur http://russelltexas.com/malware/createhjtfolder.htm).

- il est très important d'avoir la toute dernière version du logiciel.

- fermer toutes les fenêtres.

- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé.

- cliquer sur 'Scan', l'affichage est instantané.

- à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.

- une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

- mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire.

- fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.

- attendre l'analyse et la réponse.

[meganomaniak]

Hello

 

merci pour ton aide ipl_001 mais le truc et toujours la

 

ce une espece de prog. et le gars qui me l'a envoyer peut avoir le controle de mon pc car a chaque fois que lance par exemple hijackthis ca me le ferme automatiquement

 

 

par contre je ne pas lancer A² je n'arrive pas a me connecter

 

apres avoir examiner mon Gest. des taches j'ai trpouve un prog qui s'appele formatsys et des que je le ferme tout va bien

par contre je vous laisse le resultat de hijackthis du pc a ma soeur pour voir si vous me pouvez m'aider

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 19:22:22, on 10/03/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\formatsys.exe

C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\9Telecom\modem_ADSL_USB_Comtrend_CT-350\dslmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\lotus\wordpro\ltsstart.exe

C:\WINDOWS\system32\taskmgr.com.exe

C:\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fcbkzomhmidodrxlkzputp.net/I3Ta...EFpPwqC/7m.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.9online.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 64.233.167.104 www.symantec.com

O1 - Hosts: 64.233.167.104 www.sophos.com

O1 - Hosts: 64.233.167.104 www.mcafee.com

O1 - Hosts: 64.233.167.104 www.viruslist.com

O1 - Hosts: 64.233.167.104 www.f-secure.com

O1 - Hosts: 64.233.167.104 www.avp.com

O1 - Hosts: 64.233.167.104 www.kaspersky.com

O1 - Hosts: 64.233.167.104 www.networkassociates.com

O1 - Hosts: 64.233.167.104 www.ca.com

O1 - Hosts: 64.233.167.104 www.my-etrust.com

O1 - Hosts: 64.233.167.104 www.nai.com

O1 - Hosts: 64.233.167.104 www.trendmicro.com

O1 - Hosts: 64.233.167.104 www.grisoft.com

O1 - Hosts: 64.233.167.104 securityresponse.symantec.com

O1 - Hosts: 64.233.167.104 symantec.com

O1 - Hosts: 64.233.167.104 sophos.com

O1 - Hosts: 64.233.167.104 mcafee.com

O1 - Hosts: 64.233.167.104 liveupdate.symantecliveupdate.com

O1 - Hosts: 64.233.167.104 viruslist.com

O1 - Hosts: 64.233.167.104 f-secure.com

O1 - Hosts: 64.233.167.104 kaspersky.com

O1 - Hosts: 64.233.167.104 kaspersky-labs.com

O1 - Hosts: 64.233.167.104 avp.com

O1 - Hosts: 64.233.167.104 networkassociates.com

O1 - Hosts: 64.233.167.104 ca.com

O1 - Hosts: 64.233.167.104 mast.mcafee.com

O1 - Hosts: 64.233.167.104 my-etrust.com

O1 - Hosts: 64.233.167.104 download.mcafee.com

O1 - Hosts: 64.233.167.104 dispatch.mcafee.com

O1 - Hosts: 64.233.167.104 secure.nai.com

O1 - Hosts: 64.233.167.104 nai.com

O1 - Hosts: 64.233.167.104 update.symantec.com

O1 - Hosts: 64.233.167.104 updates.symantec.com

O1 - Hosts: 64.233.167.104 us.mcafee.com

O1 - Hosts: 64.233.167.104 liveupdate.symantec.com

O1 - Hosts: 64.233.167.104 customer.symantec.com

O1 - Hosts: 64.233.167.104 rads.mcafee.com

O1 - Hosts: 64.233.167.104 trendmicro.com

O1 - Hosts: 64.233.167.104 grisoft.com

O1 - Hosts: 64.233.167.104 sandbox.norman.no

O1 - Hosts: 64.233.167.104 www.pandasoftware.com

O1 - Hosts: 64.233.167.104 uk.trendmicro-europe.com

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O4 - HKLM\..\Run: [LiveNote] livenote.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [avnort] C:\WINDOWS\System32\serbw.exe

O4 - HKLM\..\Run: [ltwob] C:\WINDOWS\msmbw.exe

O4 - HKLM\..\Run: [serpe] C:\WINDOWS\System32\formatsys.exe

O4 - HKLM\..\RunServices: [avnort] C:\WINDOWS\System32\serbw.exe

O4 - HKLM\..\RunServices: [ltwob] C:\WINDOWS\msmbw.exe

O4 - HKLM\..\RunServices: [serpe] C:\WINDOWS\System32\formatsys.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"

O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe

O4 - Global Startup: DSLMON-9Online.LNK = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab

O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F61C8EF7-04DE-42CE-860A-07228C84288F}: NameServer = 80.118.196.40 80.118.192.110

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

Merci pour votre aide

Modifié le 10 mars 2005 par meganomaniak

[Jumpin'JAck FLash]

slt

 

 

ce une espece de prog. et le gars qui me l'a envoyer peut avoir le controle de mon pc car a chaque fois que lance par exemple hijackthis ca me le ferme automatiquement

 

redemarre ton ordi en mode sans echec (F8 au démarrage ou demarrage/executer/msconfig/coché demarrge en mode diagnostique)

 

désactive aussi la restauration du systeme

 

essaye de refaire tes scan ac A² et compagni comme dans le post de ipl_001

 

pour ton log hijackthis analyse le ici

 

[meganomaniak]

pouvez vous me dire comment je doit faire pour effacer les fichier corrumpu

 

je vous laisse l'analyse de Hijackthis.

 

 

 

Resultat de Hijackthis

 

 

 

 

Merci pour votre aide