trojan lowzones et exe intempestifs

[Mumu31]

j'ai sans arrête deux exe qui s'installent au démarrage de mon pc au moment de la connexion internet.

Un qui s'appelle happy.exe sur C:\documentsandsetting\ger\localsetting\temporaryfilesinternet\contentIE5

problème c'est que je n'arrive à avoir accès au dosiier COTENTIE5 qu'en mode sans échec!!!

l'autre s'installe directement sur le DD C: et s'appelle Updatesp64a.exe

J'ai encore fait quelques manip avec hijackthis et eazycleaner et voilà le dernier rapport

 

Logfile of HijackThis v1.99.1

Scan saved at 14:34:40, on 02/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender Professional Edition\bdmcon.exe

C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe

C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE

C:\WINDOWS\system32\cmd.exe

C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE

C:\Programme non installé\hijack this\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/

O4 - HKLM\..\Run: [bDMCon] C:\Program Files\Softwin\BitDefender Professional Edition\\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\Program Files\Softwin\BitDefender Professional Edition\\bdnagent.exe

O4 - HKLM\..\Run: [bDSwitchAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe

O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE" -turbo

O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

Alors que faire?

merci

[queruak]

Bonjour Mumu31, bonjour à tous,

 

Comme promis,je suis là !

 

A tout à l'heure !

[queruak]

Rebonjour,

Alors que faire?

merci

511633[/snapback]

 

Le rapport hijackthis ne signale rien de particulier.

 

Fais ceci :

 

-1-Assure toi d'avoir accés à tous les fichiers.

Poste de travail

Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer".

 

-2-Télécharge les outils suivants

*Ad-aware 1.06

http://www.majorgeeks.com/download506.html

Mets bien à jour

Patch pour les langues(pour franciser Ad-aware )

http://download.lavasoft.de.edgesuite.net/public/pllangs.exe

*SpyBot

http://www.majorgeeks.com/SpyBot-Search_&_Destroy_d2471.html

 

Tu les mets bien à jour

 

-3-Fermeture de tous les programmes

 

-3.1-Suppression des fichiers inutiles

par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles

 

-3.2-Suppression des fichiers inutiles et nettoyage de la base de registres par EasyCleaner

 

- 3.3-Examen antispyware par Ad-Aware SE 1.06 et par Spybot Search and Destroy 1.4

Supprime tout ce qu'isl trouvent.

 

-4- Examen antivirus en ligne sur

http://www.pandasoftware.com/activescan/co...n_principal.htm

Colle le rapport ici.

[Mumu31]

Rebonjour,

Le rapport hijackthis ne signale rien de particulier.

 

Fais ceci :

 

-1-Assure toi d'avoir accés à tous les fichiers.

-2-Télécharge les outils suivants

*Ad-aware 1.06

http://www.majorgeeks.com/download506.html

Mets bien à jour

Patch pour les langues(pour franciser Ad-aware )

http://download.lavasoft.de.edgesuite.net/public/pllangs.exe

*SpyBot

http://www.majorgeeks.com/SpyBot-Search_&_Destroy_d2471.html

 

Tu les mets bien à jour

 

-3-Fermeture de tous les programmes

 

Bonjour, j'ai déjà fait toutes ces manip plusieurs fois mais là j'ai coupé dans le vif au niveau des ix and checked de hijackthis et çà à l'air de fonctionner?il faut maintenant que je m'attque à mon autre pc qui semble lui aussi malade avant de les remettre en réseau tous les deux

merci

 

-3.1-Suppression des fichiers inutiles

par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles

 

-3.2-Suppression des fichiers inutiles et nettoyage de la base de registres par EasyCleaner

 

- 3.3-Examen antispyware par Ad-Aware SE 1.06 et par Spybot Search and Destroy 1.4

Supprime tout ce qu'isl trouvent.

 

-4- Examen antivirus en ligne sur

http://www.pandasoftware.com/activescan/co...n_principal.htm

Colle le rapport ici.

511639[/snapback]

[queruak]

Bonjour Mumu31, bonjour à tous,

 

Mumu31

Peux tu m'expliquer ?

Pourquoi tu as reproduis mon méssage ?

 

@+

[Mumu31]

Bonjour Mumu31, bonjour à tous,

 

Mumu31

Peux tu m'expliquer ?

Pourquoi tu as reproduis  mon méssage ?

 

@+

511958[/snapback]

 

 

pour te dire que ce que tu me conseillais je l'ai fait et refair mais j'ai encore et toujours de nouveaux exe qui s'installent à ma connexion et aujourd'hui par exemple c'est un nouveau

sur c:\msupdate3778.exe

alors je désespère!!!

[queruak]

Rebonjour,

 

D'accord mais ce n'est pas agréable de scroller pour ne rien lire.

De plus il y'a des manieres plus adaptées dans les réponses.

Sur les forums d'entraide,tous ceux qui repondent sont des benevoles,ils aident par plaisir,au detriment de leur temps,de leur famille parfois.Tu n'as pas affaire à un service payant,tu ne payes rien,ceux qui aident ne touchent absolument rien.

Tout ceci doit etre pris en consideration.

N'oublie que tu as posté ton premier méssage à 14h32,je t'ai repondu 5 minutes plus tard.

 

Ou est le rapport de Panda

[Mumu31]

Rebonjour,

 

D'accord mais ce n'est pas agréable de scroller pour ne rien lire.

De plus il y'a des manieres plus adaptées dans les réponses.

Sur les forums d'entraide,tous ceux qui repondent sont des benevoles,ils aident par plaisir,au detriment de leur temps,de leur famille parfois.Tu n'as pas affaire à un service payant,tu ne payes rien,ceux qui aident ne touchent absolument rien.

Tout ceci doit etre pris en consideration.

N'oublie que tu as posté ton premier méssage à 14h32,je t'ai repondu 5 minutes plus tard.

 

Ou est le rapport de Panda

511979[/snapback]

 

 

je ne comprends pas très bien le sens de ton message

je sais très bien qu'il s'agit ici d'entraide gratuite, volontaire et spontanée je n'en attends d'ailleurs rien de plus. Comme tout le monde j'essaie de me débrouiller au milieu des conseils que l'on me donne.

Scroller je ne sais pas ce que cela veut dire, excuses moi si je n'ai pas répondu comme il faut, d'ailleurs c'est quoi la procédure pour répondre, il faut écrire en bas ou au dessus du message initial?

pour le rapport panda je ne comprends pas de quoi tu parels je ne possède pas panda mais bit defender

dont voici le dernier rapport

 

 

 

//-----------------------------------------------------------------

//

// Fichier journal BitDefender

//

// Créé le: 02/06/2005 12:45:11

//

//-----------------------------------------------------------------

 

 

Statistiques

 

Chemin cible: C:\

Dossiers : 1150

Fichiers : 85905

Archives : 929

Fichiers empaquetés : 7934

Virus trouvés : 1

Fichiers infectés : 2

Alertes : 0

Fichiers suspects : 0

Fichiers désinfectés : 0

Fichiers effacés : 0

Fichiers copiés : 0

Fichiers déplacés : 0

Fichiers renommés : 0

Erreurs I/O : 22

Temps d'analyse := 00:19:16

Fichiers/seconde :74

 

Définitions virus : 172757

Plugins d'analyse : 13

Plugins archives : 39

Plug-ins décompression : 4

Plug-ins messagerie : 6

Plug-ins système : 1

 

Options d'analyse

 

Détection

[X] Analyser le secteur de boot

[X] Analyser les archives

[X] Analyser les fichiers en paquets

[X] Analyser la messagerie

 

Masque fichiers

[ ] Programmes

[X] Tous les fichiers

[ ] Extensions définies par l'utilisateur:

[ ] Exclure les extensions: ;

 

Action

 

Objets infectés

[ ] Ignorer

[X] Désinfecter

[ ] Effacer

[ ] Copier

[ ] Déplacer dans le dossier infectés

[ ] Renommer

[ ] Demander l'action

 

Seconde action

[ ] Ignorer

[ ] Effacer

[ ] Copier

[X] Déplacer dans le dossier infectés

[ ] Renommer

[ ] Demander l'action

 

Options d'analyse

[X] Activer les alertes

[X] Activer l'heuristique

[ ] Afficher tous les fichiers dans le journal

[X] Fichier journal : vscan.log

[ ] Rajouter au rapport existant

 

Sommaire :

 

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WXU30163\gamma[1].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WXU30163\gamma[1].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WXU30163\gamma[1].exe=>(RAR Sfx o)=>re11.REG Déplacement impossible

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WXU30163\gamma[2].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WXU30163\gamma[2].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WXU30163\gamma[2].exe=>(RAR Sfx o)=>re11.REG Déplacement impossible

 

Fichiers analysés

 

Voilà qu'st-ce que je pourrai bein faire maintenant?

merci et je pateinterai le temps qu'il faudra bien sur je ne suis pas pressée

merci encore

[queruak]

pour te dire que ce que tu me conseillais je l'ai fait et refair mais j'ai encore et toujours de nouveaux exe qui s'installent à ma connexion et aujourd'hui par exemple c'est un nouveau

sur c:\msupdate3778.exe

alors je désespère!!!

 

je ne comprends pas très bien le sens de ton message

je sais très bien qu'il s'agit ici d'entraide gratuite, volontaire et spontanée je n'en attends d'ailleurs rien de plus. Comme tout le monde j'essaie de me débrouiller au milieu des conseils que l'on me donne.

Scroller je ne sais pas ce que cela veut dire, excuses moi si je n'ai pas répondu comme il faut, d'ailleurs c'est quoi la procédure pour répondre, il faut écrire en bas ou au dessus du message initial?

pour le rapport panda je ne comprends pas de quoi tu parels je ne possède pas panda mais bit defender

 

Ton dernier méssage confirme bien ce que je disais.

-Tu n'as pas fait ce que je t'ai demandé de faire en premier.

-Les versions de Spybot et de Ad-aware que je t'ai recommandé sont les plus recentes.

-En outre,le rapport de ton antivirus indque que les fichiers infectés sont dans Temporary Internet Files\Content.IE5,et si tu avais passé EasyCleaner,ils auraient été supprimé.

-Le scan que je t'ai demandé de faire est un scan en ligne,si tu avais pris la peine de cliquer sur le lien que je t'ai donné,tu aurais compris la suite.

 

Bon,je sui vais me reposer face à l'ecran et regarder le tennis.

[Mumu31]

Ton dernier méssage confirme bien ce que je disais.

-Tu n'as pas fait ce que je t'ai demandé de faire en premier.

-Les versions de Spybot et de Ad-aware que je t'ai recommandé sont les plus recentes.

-En outre,le rapport de ton antivirus indque que les fichiers infectés sont dans Temporary Internet Files\Content.IE5,et si tu avais passé EasyCleaner,ils auraient été supprimé.

-Le scan que je t'ai demandé de faire est un scan en ligne,si tu avais pris la peine de cliquer sur le lien que je t'ai donné,tu aurais compris la suite.

 

Bon,je sui vais me reposer face à l'ecran et regarder le tennis.

512043[/snapback]

 

 

je suis désolée de te redire qu'à part le scan en ligne qu'effectivement je n'ai pas fait , vider le dossier ContentIE5 je l'ai fait 100 fois depuis une semaine et j'ai également passer eazycleaner comme tu me l'avais conseiller. et les version de ad aware et spy bot sont mise à jour. alors que faire

mais apparmment çà s'arrange puisque depuis aujourd'hui rien n'est venu troubler le fonctionnement de mon pc. à suivre bon match de roland garros