des troyans partout !

[ipl_001]

Bonsoir Bond, ZoX', tirol, bonsoir à tous,

 

Bond, il faut que tu ailles dans Spybot et que tu enlèves les protections SDhelp et TeaTimer jusqu'à ce qu'on ait nettoyé car elles empêchent HijackThis d'enlever les lignes !

 

- lance HijackThis

- menu Mode / Mode avancé

- onglet Outils (onglets en vertical, sur la gauche)

- clique sur Résident

- décoche "Résident 'DShelper'..."

- décoche "Résident 'TeaTimer'..."

- quitte Spybot

 

ensuite enlève les 10 + 14 lignes indiquées par ZoX'

 

(je pense que les O6 -restrictions- s'enlèveront lorsqu'on enlèvera SDhelp et TeaTimer)

 

Plus tard, lorsque le rapport HJT sera débarassé des 10 + 14 lignes, tu retourneras dans SpyBot pour recocher les 2 cases.

 

Au fait, les fameuses lignes ne font pas beau dans le rapport mais elles sont maintenant inoffensives !

[Bond]

Bonsoir Bond, ZoX', tirol, bonsoir à tous,

 

Bond, il faut que tu ailles dans Spybot et que tu enlèves les protections SDhelp et TeaTimer jusqu'à ce qu'on ait nettoyé car elles empêchent HijackThis d'enlever les lignes !

 

553284[/snapback]

Pour SDhelp et TeaTimer je l'avait fait, mais j'ai loupé le fix dans la procédure de ZoX avant de faire "Hijackthis -> Config -> Misc tools > delete a file on reboot

 

Entre celà C:\WINDOWS\System32\tss.exe" donc je n'ai fixer les lignes

[Bond]

Je vais y passer la nuit si ca continue

[ipl_001]

Allez ! Tous au lit !

On continuera demain !

(pas trop dans la journée pour moi )

[Bond]

Allez ! Tous au lit !

On continuera demain !

(pas trop dans la journée pour moi )

553287[/snapback]

Avant d'allez dormir

 

Logfile of HijackThis v1.99.1

Scan saved at 01:57:23, on 17/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\PROGRA~1\Secuties\PERSON~1\sfw.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\WINDOWS\system32\ctfmon.exe

D:\program files games\valve\steam\steam.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll

O4 - HKLM\..\Run: [sfirewall] C:\Program Files\Secuties\Personal Firewall\sfw.exe /waitservice

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [s-Firewall] C:\PROGRA~1\Secuties\PERSON~1\sfw.exe /waitservice

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [steam] "d:\program files games\valve\steam\steam.exe" -silent

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SFirewall Service (SFirewall) - Unknown owner - C:\PROGRA~1\Secuties\PERSON~1\sfw.exe

 

Bonne nuit à tous.

Modifié le 16 août 2005 par Bond

[ZoX']

Bonjour à tous

 

Eh bien je pense que ton log est propre, je ne vois vraiment pas ce qui cloche dedans (en tout cas ce qui est infectueux).

[ipl_001]

Bonjour Bond, ZoX', bonjour à tous,

 

C'est impeccable ! Ce rapport est propre !

 

Qu'en dis-tu toi, Bond ? Est-ce que les dysfonctionnements ont disparu ?

 

Si je compare les 2 rapports HijackThis (ancien / catégorie / nouveau) :

- 7 / Rx / 4

- 13 / O2-O3 / 2

- 38 / O4 / 11

- 0 / O6 / 2

- 4 / O9 / 4

- 14 / O16 / 0

- 6 / O23 / 4

Le premier message a été posté par Bond lundi 15 août 2005 à 22h46

Les dernières instructions de nettoyage ont été données ce matin vers 1h 50

Moi je dis : Pas mal çà !

 

Bien vu Bond et ZoX' !

 

Certes, on aurait pu faire plus rapidement (en particulier, moi) ; je ne sais pas ce qu'en pense Bond...

 

ZoX', si Bond répond qu'il n'y a plus de dysfonctionnement, il faut maintenant que tu lui donnes des conseils de manière à ce qu'il n'ait plus d'infections à l'avenir !

Regarde ce qu'il a et trouve les failles dans la carapace !

Bonne après-midi à tous,

Félicitations !

[Bond]

Bonjour ZoX, ipl, bonjour à tous

 

Bonjour Bond, ZoX', bonjour à tous,

 

Certes, on aurait pu faire plus rapidement (en particulier, moi) ; je ne sais pas ce qu'en pense Bond...

 

553423[/snapback]

 

Pas évident car je ne suis pas tout le temps devant mon PC

 

Bonjour Bond, ZoX', bonjour à tous,

 

C'est impeccable ! Ce rapport est propre !

 

Qu'en dis-tu toi, Bond ? Est-ce que les dysfonctionnements ont disparu ?

 

553423[/snapback]

 

Oui c'était impeccable hier soir mais les trojans ont attaqué mon logiciel professionnel le résident d'AntiVir me lance des messages d'alerte à l'ouverture de Véga 4 (mon logiciel de gestion de clientèle) sur des fichiers tel que :

 

C:\WINDOWS\EXPLORER.SCF:dhtkz Is the Trojan horse TR/Dldr.Age.bc.19.A

 

C:\WINDOWS\GALSS.INI:zxier Is the Trojan horse TR/Dldr.Age.bc.19.A

 

C:\WINDOWS\GALSS.INI:zguls Is the Trojan horse TR/Dldr.Agent.BQ.25

 

C:\WINDOWS\SVCPACK.LOG:kjuus Is the Trojan horse TR/Dldr.Age.bc.19.A

 

et log de AntiVir Guard

 

17/08/2005,14:07:18 [iNFO] Start Filter Device.

17/08/2005,14:07:27 WARNING: Is the Trojan horse TR/Dldr.Agent.BQ.25!

C:\WINDOWS\INT.INI:rrbjw

17/08/2005,14:11:15 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\WINDOWS\INT.INI:mqrzg

17/08/2005,14:11:19 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\WINDOWS\INT.INI:mghlj

17/08/2005,14:11:21 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\WINDOWS\INT.INI:ekjso

17/08/2005,14:11:36 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\WINDOWS\INT.INI:druta

17/08/2005,14:21:03 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\SSV.INI:zhsfh

17/08/2005,14:22:24 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\SSV.INI:rpwtu

17/08/2005,14:22:28 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\WINDOWS\SSV.INI:mjyew

17/08/2005,14:22:30 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\SSV.INI:lmlnt

17/08/2005,14:22:59 WARNING: Is the Trojan horse TR/Dldr.Agent.BQ.25!

C:\WINDOWS\SSV.INI:lcrnm

17/08/2005,14:22:33 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\SSV.INI:zhsfh

17/08/2005,14:23:02 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\SSV.INI:rpwtu

17/08/2005,14:23:05 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\WINDOWS\SSV.INI:mjyew

17/08/2005,14:23:09 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\SSV.INI:lmlnt

17/08/2005,14:23:22 WARNING: Is the Trojan horse TR/Dldr.Agent.BQ.25!

C:\WINDOWS\SSV.INI:lcrnm

17/08/2005,14:23:40 WARNING: Is the Trojan horse TR/Dldr.Agent.BQ.25!

C:\SSV\FICSSV\INT.INI:rrbjw

17/08/2005,14:23:43 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\SSV\FICSSV\INT.INI:mqrzg

17/08/2005,14:23:44 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\SSV\FICSSV\INT.INI:mghlj

17/08/2005,14:23:58 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\SSV\FICSSV\INT.INI:ekjso

17/08/2005,14:23:43 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\SSV\FICSSV\INT.INI:mqrzg

17/08/2005,14:24:00 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\SSV\FICSSV\INT.INI:mghlj

17/08/2005,14:23:59 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\SSV\FICSSV\INT.INI:druta

17/08/2005,14:24:02 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\SSV\FICSSV\INT.INI:ekjso

17/08/2005,14:24:27 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\SSV\FICSSV\INT.INI:druta

17/08/2005,14:28:45 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\SSV.INI:zhsfh

17/08/2005,14:28:50 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\SSV.INI:rpwtu

17/08/2005,14:28:55 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\SSV.INI:zhsfh

17/08/2005,14:28:57 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\SSV.INI:rpwtu

17/08/2005,14:28:59 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\WINDOWS\SSV.INI:mjyew

17/08/2005,14:28:50 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\SSV.INI:rpwtu

17/08/2005,14:28:53 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\WINDOWS\SSV.INI:mjyew

17/08/2005,14:29:03 WARNING: Is the Trojan horse TR/StartPag.DU2!

C:\WINDOWS\SSV.INI:mjyew

17/08/2005,14:29:00 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\SSV.INI:lmlnt

17/08/2005,14:29:05 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\SSV.INI:lmlnt

17/08/2005,14:29:06 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\SSV.INI:lmlnt

17/08/2005,14:29:16 WARNING: Is the Trojan horse TR/Dldr.Agent.BQ.25!

C:\WINDOWS\SSV.INI:lcrnm

17/08/2005,14:29:14 WARNING: Is the Trojan horse TR/Dldr.Agent.BQ.25!

C:\WINDOWS\SSV.INI:lcrnm

17/08/2005,14:29:17 WARNING: Is the Trojan horse TR/Dldr.Agent.BQ.25!

C:\WINDOWS\SSV.INI:lcrnm

17/08/2005,14:29:26 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\GALSS.INI:zxier

17/08/2005,14:29:30 WARNING: Is the Trojan horse TR/Dldr.Agent.BQ.25!

C:\WINDOWS\GALSS.INI:zguls

17/08/2005,14:29:31 WARNING: Is the Trojan horse TR/Dldr.Agent.BQ.25!

C:\WINDOWS\GALSS.INI:rrnxf

17/08/2005,14:29:34 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\GALSS.INI:rgueb

17/08/2005,14:29:35 WARNING: Is the Trojan horse TR/Dldr.Age.bc.19.A!

C:\WINDOWS\GALSS.INI:defbz

 

C:/SVV est le répertoire de Véga 4 et dans Windows GALSS.INI, SSV.INI sont des fichiers de Véga 4.

 

J'ai fait une dernière sauvegarde de mes données car j'ai fait une télétransmission entre temps et envoyé des feuilles de soins sécurisées dont j'ai eu les accusés de réception ensuite.

 

Voilà, les affaires recommencent, je n'ouvre plus mon logiciel avant d'avoir réglé le problème.

[Invité tesgaz]

Salut à tous,

 

Pourquoi il y a 2 fois cette ligne ?

O4 - HKLM\..\Run: [s-Firewall] C:\PROGRA~1\Secuties\PERSON~1\sfw.exe /waitservice

O4 - HKLM\..\Run: [sfirewall] C:\Program Files\Secuties\Personal Firewall\sfw.exe /waitservice

 

perso, je suis allé faire un tour sur le site qui propose ce firewall, je n'aime pas trop

c'est toi qui l'a installé Bond ?

 

il serait préférable d'en installer un plus connu (genre kerio ou ZA)

 

 

 

() edit, je viens de voir ton soucis

a moins humble avis, faut désinstaller ton logiciel vega, supprimer tout les fichiers indiqué par antivrir et ensuite tu le ré-installe proprement (dans C:\Program Files\)

Modifié le 17 août 2005 par tesgaz

[Bond]

Bonjour tesgaz,

 

Salut à tous,

 

Pourquoi il y a 2 fois cette ligne ?

O4 - HKLM\..\Run: [s-Firewall] C:\PROGRA~1\Secuties\PERSON~1\sfw.exe /waitservice

O4 - HKLM\..\Run: [sfirewall] C:\Program Files\Secuties\Personal Firewall\sfw.exe /waitservice

 

perso, je suis allé faire un tour sur le site qui propose ce firewall, je n'aime pas trop

c'est toi qui l'a installé Bond ?

 

553457[/snapback]

C'est le firewall proposé par MAXDATA à l'achat du PC

 

a moins humble avis, faut désinstaller ton logiciel vega, supprimer tout les fichiers indiqué par antivrir et ensuite tu le ré-installe proprement (dans C:\Program Files\)

 

La hotline de Véga me dit de supprimer les fichiers incriminés puis de faire une MAJ du logiciel (écrasement quoi), mais je préfère ton conseil.

Modifié le 17 août 2005 par Bond