zokitufei.exe ...qqu'un connait ?

[pos_tha_boss]

alors?

[pos_tha_boss]

svp les gens

[Invité Stonangel]

Bonjour pos_tha_boss je ragarde ton rapport réponse dans un moment.

[pos_tha_boss]

kk merci

 

au fait j'ai essayé Spy Sweeper et il m'a supprimé les fichiers en questions bolger.dll et les autres là, mais apres c'est revenu ...

Modifié le 2 mai 2005 par pos_tha_boss

[Invité Stonangel]

Re,

 

1 Télécharge cet utilitaire Killbox sur:

 

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

 

Dézippe le dans un répertoire dédié et place un raccourci sur le bureau

 

2 Démarre Hijackthis Do a system scan only, assure toi que la case Make backups before fixing items est activée et coche les lignes suivantes:

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jeuxvideo.com/etajvbis.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\Po$\Application Data\Mozilla\Profiles\default\x0pj41mm.slt\prefs.js)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: PopUpCop - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - C:\PROGRA~1\PopUpCop\PopUpCop.dll

O3 - Toolbar: (no name) - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)

O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll (file missing)

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime< non infectieuse consommatrice de ressources

O4 - HKLM\..\Run: [babylon Client] C:\Program Files\Babylon\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [spy Watcher] "C:\PROGRA~1\SPYCLE~1\SpyWatcher.exe" -S

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: Open Image in New Window - res://C:\Program Files\PopUpCop\popupcop.dll/imagenew

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1113850419609

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_mp3.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{06376FDD-871F-4E48-9F0B-864E887E10C1}: NameServer = 205.188.146.146,202.67.95.0

O17 - HKLM\System\CS1\Services\Tcpip\..\{06376FDD-871F-4E48-9F0B-864E887E10C1}: NameServer = 205.188.146.146,202.67.95.0

O17 - HKLM\System\CS2\Services\Tcpip\..\{06376FDD-871F-4E48-9F0B-864E887E10C1}: NameServer = 205.188.146.146,202.67.95.0

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

 

 

3 Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

 

4 Démarre en mode sans échec (F8 ou F5)

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

Lance Killbox. Rechercher le processus à stopper dans la liste déroulante en bas à droite et cliquer sur le triangle jaune avec le point d'exclamation pour stopper ce processus

- en haut de la fenêtre, utiliser l'icône de dossier pour trouver un fichier à supprimer et cliquer sur la croix rouge pour supprimer ce fichier.

coller l'adresse du fichier à supprimer dans la zone blanche ("Paste full path of file to delete")

 

C:\WINDOWS\Nail.exe

 

sélectionner Delete on reboot puis cliquer sur la croix rouge

 

5 Supprime les fichiers incriminés (s'ils existent encore) :

 

C:\WINDOWS\Nail.exe

 

C:\WINDOWS\Bolger.dll

 

C:\Program Files\ISTbar\istbarcm.dll

 

Supprime les fichiers inutiles dans les répertoires Temp

 

celui de C:\Documents and Settings\ton identité\Local Settings\Temp <--tout le contenu

 

C:\Documents and Settings\autres identités\Local Settings\Temp <--tout le contenu

 

et ceux de

 

C:\Temp

 

C:\Windows\Temp <--tout le contenu

 

 

Supprime tous les fichiers de Temporary Internet Files

via Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers .

 

Supprime les Cookies.

 

Supprime tout le contenu de Prefetch

 

C:\WINDOWS\Prefetch<--Tout le contenu

 

Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C:

coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers

 

Vide la corbeille

 

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

6 Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

Modifié le 2 mai 2005 par Stonangel

[pos_tha_boss]

Ok bon voila, ca m'a pris longtemps lol, mais j'y suis arrivé

 

En passant j'ai bloqué sur ca :

"Lance Killbox. Rechercher le processus à stopper dans la liste déroulante en bas à droite et cliquer sur le triangle jaune avec le point d'exclamation pour stopper ce processus"

 

sinon j'pense avoir fait ce que tu m'a demandé, voilà le log :

 

Logfile of HijackThis v1.99.1

Scan saved at 20:22:42, on 02/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ASUS\Probe\AsusProb.exe

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

C:\Program Files\Babylon\Babylon.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\wpabaln.exe

I:\Pos DONT TOUCH\options\hijackthis\HijackThis.exe

C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jeuxvideo.com/etajvbis.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\Po$\Application Data\Mozilla\Profiles\default\x0pj41mm.slt\prefs.js)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: PopUpCop - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - C:\PROGRA~1\PopUpCop\PopUpCop.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [babylon Client] C:\Program Files\Babylon\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: Open Image in New Window - res://C:\Program Files\PopUpCop\popupcop.dll/imagenew

O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1113850419609

O17 - HKLM\System\CCS\Services\Tcpip\..\{06376FDD-871F-4E48-9F0B-864E887E10C1}: NameServer = 205.188.146.146,202.67.95.0

O17 - HKLM\System\CS1\Services\Tcpip\..\{06376FDD-871F-4E48-9F0B-864E887E10C1}: NameServer = 205.188.146.146,202.67.95.0

O17 - HKLM\System\CS2\Services\Tcpip\..\{06376FDD-871F-4E48-9F0B-864E887E10C1}: NameServer = 205.188.146.146,202.67.95.0

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

 

 

 

 

Sinon maintenant j'ai un petit problème, après avoir fait tout les bidouilles, quand j'allume mon pc, il reste 15 secondes sur l'écran de "chargement" de xp, je sais si vous voyez de quoi je parle, l'écran juste avant d'arriver sur le bureau, bref ca prend plus de temps qu'avant, et après ca, ca m'affiche un message d'erreur ( à chaque redémarrage ) :

 

"Windows ne trouve 'C:\WINDOWS\Nail.exe' . Vérifiez que vous avez entré le nom correctement et essayez à nouveau . Pour rechercher un fichier, cliquez sur le bouton Démarrer, puis sur Rechercher ."

 

Voila sinon par rapport au 'trojan' j'crois qu'il est parti et j'te remercie d'ailleurs .

 

Sinon une idée par rapport au nouveau soucis ? Ou dois-je changer de catégorie ?

 

Merci

[Invité Stonangel]

Re, c'est mieux mais le trojan est toujours là c'est bizarre Ewido aurait dû l'éliminer.

 

1 Vide la quarantaine d'Ewido

 

2 Termine ce processus en ouvrant le gestionnaire de tâche s'il est présent

 

Nail.exe

 

 

3 Démarre en mode sans échec, relance Ewido.

 

4 Lance Hijackthis Do a system scan only, paramètre le de cette façon:

 

Config> Open the Misc Tools section> Delete a file on reboot entre ce chemin:

 

C:\WINDOWS\Nail.exe

 

Dans Hijackthis coche cette ligne,

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

 

Démarre normalement et poste un nouveau rapport Hijackthis ainsi que le rapport d'Ewido.

Modifié le 2 mai 2005 par Stonangel

[ipl_001]

Bonsoir pos_tha_boss, Stonangel, bonsoir à tous,

 

Voila une F2 qui résiste, maintenant !?!?

[pos_tha_boss]

lol bah maintenant rien, merci stonangel, jferais ca demain parce que la jsuis fatigué, jvais me regarder un film , jposterai le log demain .

[queruak]

Bonsoir à tous,

 

lol bah maintenant rien, merci stonangel, jferais ca demain parce que la jsuis fatigué, jvais me regarder un film  , jposterai le log demain .

496326[/snapback]

 

Tu as raison,car la resolution de ton probleme risque d'etre longue et complexe.

 

Fais ceci pour moi:

Télécharge cet outil,sur ton bureau

http://forums.net-integration.net/index.ph...=post&id=134981

Tu le dézippes,(le dossier est FindQoologic)

Ouvre ce dossier,doubleclique sur le fichier bat Find-Qoologic

Patiente,un log est généré,

Colle ce log ici.