Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

alerte de présence du meme virus a chaque démarrag


tornado

Messages recommandés

Bonsoir à tous,

 

C encore un trompe l'oeil  :P

 

dllhost32.exe qui ressemble presque à s'y m'éprendre à dllhost.exe qui est un processus  servant à gérer les librairies dynamiques (DLL).

 

ntdll.exe idem mais à l'origine c pas un executable : ntdll.dll est un module qui contient des fonctions de système de NT.

 

donc ils ne sont pas légitimes !  :-P

577729[/snapback]

 

donc si je comprends bien diana ces fichiers ne sont pas nuisibles à mon pc

Le seul problème c qu'à chaque que je les supprime , au prochain démarrage de windows, ils réapparaissent :P

une autre suggestion....

autre chose g vu sur le site de symantec que je pouvais supprimer l'entrée de registre des fichiers malveillants.

est ce que qlq 1 pourrait me recommander la meilleur démarche à suivre pr supprimer ces "foutus" fichiers

encore merci d'avance et merci aux zébuloniens

Modifié par tornado
Lien vers le commentaire
Partager sur d’autres sites

Rebonsoir tornado,

donc si je comprends bien diana ces fichiers ne sont pas nuisibles à mon pc
Si ! Diana dit qu'ils sont à supprimer !
Le seul problème c qu'à chaque que je les supprime , au prochain démarrage de windows, ils réapparaissent :P
As-tu fait ce que t'a indiqué Stonangel ?
une autre suggestion.... 

autre chose g vu sur le site de symantec que je pouvais supprimer l'entrée de registre des fichiers malveillants.

est ce que qlq 1 pourrait me recommander la meilleur démarche à suivre pr supprimer ces "foutus" fichiers

encore merci d'avance et merci aux zébuloniens

577746[/snapback]

Applique la procédure "Pré-Nettoyage d'un PC infecté" -> http://forum.zebulon.fr/index.php?showtopic=69176

 

Lorsque tu auras posté le rapport HijackThis qui en résulte, nous l'analyserons et te dirons que faire !

Lien vers le commentaire
Partager sur d’autres sites

Rebonsoir tornado,Si ! Diana dit qu'ils sont à supprimer !

As-tu fait ce que t'a indiqué Stonangel ?

Applique la procédure "Pré-Nettoyage d'un PC infecté" -> http://forum.zebulon.fr/index.php?showtopic=69176

 

Lorsque tu auras posté le rapport HijackThis qui en résulte, nous l'analyserons et te dirons que faire !

577747[/snapback]

 

 

merci à tous pour le coup de main je vé faire ce que stonangel m'a suggéré et je vous posterais plus tard mon rapport hjt

Lien vers le commentaire
Partager sur d’autres sites

dllhost32.exe

 

ntdll.exe

 

Bonjour ipl,tornado,

 

si c fichiers sont bien à effacé car il n'ont rien avoir avec les originaux !

 

Lors d'une contamination, ya plusieurs choses à surveiller :

 

1 le nom des fichiers

 

2 leurs emplacements

 

3 les activités suspectes sur le pc

 

 

mais il faut de l'expérience pour savoir ça, et surtout la connaissance d'Xp :P

Modifié par Diana
Lien vers le commentaire
Partager sur d’autres sites

dllhost32.exe

 

ntdll.exe

 

Bonjour ipl,tornado,

 

si c fichiers sont bien à effacé car il n'ont rien avoir avec les originaux !

 

Lors d'une contamination, ya plusieurs choses à surveiller :

 

1 le nom des fichiers

 

2 leurs emplacements

 

3 les activités suspectes sur le pc

mais il faut de l'expérience pour savoir ça, et surtout la connaissance d'Xp  :P

577942[/snapback]

 

 

merci diana de m'avoir fait part de ton expérience .

g réussi à supprimer les fichiers incriminés en mode sans échec

voici le log hjt que j'ai fé avant de redémarrer en mode normal:

 

of HijackThis v1.99.1

Scan saved at 13:48:17, on 25/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\OD\Mes documents\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll

O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\system32\ntdll.exe

O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\system32\spoolsv32.exe

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [Piolet] C:\Program Files\Piolet\Piolet.exe SILENT

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitekad32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download by Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

 

je ne retrouve plus les chevaux de troie sur mon pc donc je pense que tout" baigne"

merci à tous :P vive zébulon :-P

analysez qd meme le log hijack this au cas où lol.

"

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Diana, bonjour à tous,

...

Lors d'une contamination, ya plusieurs choses à surveiller :

 

1 le nom des fichiers

 

2 leurs emplacements

 

3 les activités suspectes sur le pc

mais il faut de l'expérience pour savoir ça, et surtout la connaissance d'Xp  :P

577942[/snapback]

A la liste, j'ajouterais :

 

- la date de dernière mise à jour (date d'écriture dans le système)

 

- les informations en "Propriétés"

 

- la présence dans les clés RUNxxx de la BdR (ou la présence dans MSconfig)

 

...

 

J'insiste sur le coup de la date récente !

 

Si se poser des questions sur le nom d'un fichier a pour préalable d'avoir des doutes sur un fichier particulier, vérifier l'arrivée récente de fichiers .exe ou .dll dans System/System32 en cas de dysfonctionnement est plus facile et c'était ma procédure avant l'arrivée de HijackThis !

 

-> "Lutte AntiMalware -nettoyage" - http://gerard.melone.free.fr/IT/IT-AV0.html

(j'y évoque CWShr et HijackThis mais je ne savais pas les utiliser à l'époque).

Lien vers le commentaire
Partager sur d’autres sites

Rebonjour tornado, Stonangel, rebonjour à tous,

je ne retrouve plus les chevaux de troie sur mon pc donc je pense que tout" baigne"
Pas encore... :P
Je rebondis sur le post de Stonangel.

 

Je répète des choses que j'ai souvent postées ici :

Le but des pirates actuels est de gagner de l'argent aux dépens de nous tous !

Pour cela, leur objectif est d'infecter une machine sans être repérés !

En conséquence, lorsqu'on a la chance d'être averti d'une infection (ou d'une manière générale en cas de dysfonctionnement), il convient d'examiner l'ensemble du système car ce n'est qu'une partie de l'infection que vous avez été informé. Supprimer les fichiers repérés n'est pas suffisant...

C'est pourquoi, au message précis d'un internaute indiquant le nom d'un trojan et du fichier infecté, la réponse classique est : déroule la procédure "Pré-Nettoyage d'un PC infecté" ! Ce n'est pas que nous ne sachions pas lire ou que nous considérions que l'internaute raconte des histoires et n'y comprend rien mais c'est parce qu'il y a de grande chances qu'il y ait d'autres choses derrière la partie visible !

Lien vers le commentaire
Partager sur d’autres sites

Invité Stonangel

Re, télécharge

 

EasyCleaner de Toni Helenius

http://personal.inet.fi/business/toniarts/ecleane.htm

 

miekiemoes' LQfix batch

http://www.downloads.subratam.org/LQfix.zip

Enregistre sur le bureau mais ne le lance pas encore.

 

Désinstalle cette apllication via Ajout Suppression de Programmes si présente:

 

SurfAccuracy

 

Démarre en mode sans échec (F8 ou F5)

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll

O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\system32\ntdll.exe

O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\system32\spoolsv32.exe

 

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

 

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitekad32.exe

 

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

 

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

 

Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

C:\WINDOWS\system32\ntdll.exe

C:\WINDOWS\system32\spoolsv32.exe

C:\Program Files\SurfAccuracy

C:\windows\system32\elitekad32.exe

 

Ouvre LQfix: tu verras une fenêtre s'ouvrir et se refermer aussitôt

 

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

Exécute EasyCleaner Inutiles et Registre seulement. Ne pas toucher à la fonction doublon.

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...