Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

C:\\WINDOWS\SYSTEM32\ROFL.SYS

ENAID

Par ENAID
dans Analyses et éradication malwares

 Partager

Messages recommandés

ENAID Member

ENAID

Posté(e)
Posté(e)

Bonjour,

Mon ordi a buggé et affichait un message disant que mon windows system 32 était abimé et qu'il fallait mettre mon CD d'installation de windows XP pour le réparer. Il se trouve que j'ai un Toshiba et les seuls CD, que j'avais, étaient des CD de restauration. Bref, je les ai mis (j'ai perdu toutes mes données au passage). Au redémarrage est apparu des messages d'erreurs m'orientant vers registry repair pro. Après des recherches sur internet, j'ai appris qu'il s'agissait d'un spam et qu'il fallait désactiver le service d'affichage des messages. Or, il était déjà desactivé sur mon ordi. Ensuite, bien que j'ai réalisé des scan avec différents anti-virus, mon ordi rame et c'est un faible mot!. J'ai donc suivi la procédure de "megataupe" au sujet du virus dans C:\\WINDOWS\SYSTEM32\ROFL.SYS que j'ai.

J'ai du la réaliser en deux fois car mon ordi plante tous le temps et j'ai beaucoup de mal à accèder à internet.

Voici le log:

Logfile of HijackThis v1.99.1

Scan saved at 14:00:21, on 21/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\TOSHIBA\Power Management\CePMTray.exe

C:\Program Files\EzButton\CPLDBL10.EXE

C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

C:\Program Files\TOSHIBA\TouchPad\TPTray.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\Documents and Settings\diane monchicourt\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe

O4 - HKLM\..\Run: [CPLDBL10] C:\Program Files\EzButton\CPLDBL10.EXE

O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe

O4 - HKLM\..\RunServices: [notes] notepaad.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe

O23 - Service: Microsoft Client Agent Service (Microsoft Client Agent) - Unknown owner - C:\WINDOWS\msclient.exe (file missing)

O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)

 

J'espère vous avoir apporter les informations nécessaires et j'espère que vous pourrez m'aider car je désespère!!

 

Merci d'avance!

 

Diane

Lien vers le commentaire
Partager sur d’autres sites

Jack_Burton Godlike Member

Jack_Burton

Posté(e)
Posté(e) (modifié)

Bonjour et bienvenu sur le forum sécurité de zebulon,

 

J'ai donc suivi la procédure de "megataupe" au sujet du virus dans C:\\WINDOWS\SYSTEM32\ROFL.SYS que j'ai.

Tu dis avoir effectué la procédure de megataupe pourtant ton rapport a été fait en mode normal alors qu il aurait du etre en mode sans échec!

J aimerais que tu me postes un nouveau rapport fait en mode sans échec comme cela est demandé sur la procédure préliminaire!

 

 

 

Merci

 

Edit : effectivement, ton rapport montre des signes d infections

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites
ENAID Member

ENAID

Posté(e)
  • Auteur
Posté(e)

Oups! J'ai fait la procédure en deux fois et j'ai oublié de me mettre en mode sans echec la deuxième fois; Je viens de scan et save à nouveau avec HijackThis en mode sans échec dont voilà le log. Mais je n'ai pas refait la procédure en entier, est-ce qu'il est nécessaire que je re-commence??

 

Logfile of HijackThis v1.99.1

Scan saved at 16:06:29, on 21/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\diane monchicourt\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe

O4 - HKLM\..\Run: [CPLDBL10] C:\Program Files\EzButton\CPLDBL10.EXE

O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe

O4 - HKLM\..\Run: [AOL Instant Messenger dll runtime] MSAOL32dll.exe

O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe

O4 - HKLM\..\RunServices: [notes] notepaad.exe

O4 - HKLM\..\RunServices: [AOL Instant Messenger dll runtime] MSAOL32dll.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [AOL Instant Messenger dll runtime] MSAOL32dll.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe

O23 - Service: Microsoft Client Agent Service (Microsoft Client Agent) - Unknown owner - C:\WINDOWS\msclient.exe (file missing)

O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)

 

merci, merci

diane

 

Bonjour et bienvenu sur le forum sécurité de zebulon,

Tu dis avoir effectué la procédure de megataupe pourtant ton rapport a été fait en mode normal alors qu il aurait du etre en mode sans échec!

J aimerais que tu me postes un nouveau rapport fait en mode sans échec comme cela est demandé sur la procédure préliminaire!

Merci

 

Edit : effectivement, ton rapport montre des signes d infections

Lien vers le commentaire
Partager sur d’autres sites
Jack_Burton Godlike Member

Jack_Burton

Posté(e)
Posté(e) (modifié)

Re bonjour,

 

Mais je n'ai pas refait la procédure en entier, est-ce qu'il est nécessaire que je re-commence??

Non c est bon!!

J analyse ton rapport, réponse dans un moment

 

Petite remarque :

 

C:\Documents and Settings\diane monchicourt\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

Ne pas placer Hijackthis dans un dossier temp (temporaire) sinon tu ne pourras pas conserver les sauvegardes des lignes fixées!

Place le ailleurs je te prie!

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites
Jack_Burton Godlike Member

Jack_Burton

Posté(e)
Posté(e) (modifié)

Re bonjour,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Dans le menu Demarrer>Executer >tape: Services.msc

 

Recherche les services avec cette orthographe exacte:

-netconf32

-Microsoft Client Agent Service (Microsoft Client Agent)

 

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

 

O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe

O4 - HKLM\..\Run: [AOL Instant Messenger dll runtime] MSAOL32dll.exe

O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe

O4 - HKLM\..\RunServices: [notes] notepaad.exe

O4 - HKLM\..\RunServices: [AOL Instant Messenger dll runtime] MSAOL32dll.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [AOL Instant Messenger dll runtime] MSAOL32dll.exe

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

 

O23 - Service: Microsoft Client Agent Service (Microsoft Client Agent) - Unknown owner - C:\WINDOWS\msclient.exe (file missing)

O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)<---il est fort probable que ces 2 lignes 023 n apparaissent plus du fait que l on a stoppé les services en question

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

6/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-C:\WINDOWS\msclient.exe

-C:\WINDOWS\netconf32.exe

-C:\WINDOWS\SYSTEM32\ROFL.SYS

 

-wininit.exe

-MSAOL32dll.exe

-notepaad.exe<---ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!!

 

7/ Nettoyage dans la base de registre:

 

Démarrer -> Exécuter -> tape regedit et va successivement :

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

[Microsoft Update 32] wininit.exe<---supprime si présent

MSAOL32dll.exe<---supprime si présent

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

 

[Microsoft Update 32] wininit.exe<---supprime si présent

[notes] notepaad.exe<---supprime si présent

[AOL Instant Messenger dll runtime] MSAOL32dll.exe<---supprime si présent

 

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

[AOL Instant Messenger dll runtime] MSAOL32dll.exe<---supprime si présent

 

Ferme ensuite le registre.

 

8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

9/ Redémarre l'ordinateur en mode normal, recherche le fichier suivant wmplayer.exe (normalement lié a Windows Media Player, mais il peut s agir d un trojan) via "démarrer/rechercher/des fichiers ou des dossiers" puis fait le scanner avec le Virusscan de jotti!

 

10/ Poste moi le rapport du virusscan de jotti accompagné d un nouveau rapport hijackthis fait en mode normal a titre de vérification

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites
ENAID Member

ENAID

Posté(e)
  • Auteur
Posté(e)

Merci!

Je ne suis pas chez moi donc je ne peux scanner avec le virus scan de Jotti. Mais, dès que je rentre, je vous envoie son rapport ainsi que celui de Hijackthis

encore merci!

Diane

 

Re bonjour,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

4/ Dans le menu Demarrer>Executer >tape: Services.msc

 

Recherche les services avec cette orthographe exacte:

-netconf32

-Microsoft Client Agent Service (Microsoft Client Agent)

 

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

 

O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe

O4 - HKLM\..\Run: [AOL Instant Messenger dll runtime] MSAOL32dll.exe

O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe

O4 - HKLM\..\RunServices: [notes] notepaad.exe

O4 - HKLM\..\RunServices: [AOL Instant Messenger dll runtime] MSAOL32dll.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [AOL Instant Messenger dll runtime] MSAOL32dll.exe

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

 

O23 - Service: Microsoft Client Agent Service (Microsoft Client Agent) - Unknown owner - C:\WINDOWS\msclient.exe (file missing)

O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)<---il est fort probable que ces 2 lignes 023 n apparaissent plus du fait que l on a stoppé les services en question

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

6/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-C:\WINDOWS\msclient.exe

-C:\WINDOWS\netconf32.exe

-C:\WINDOWS\SYSTEM32\ROFL.SYS

 

-wininit.exe

-MSAOL32dll.exe

-notepaad.exe<---ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!!

 

7/ Nettoyage dans la base de registre:

 

Démarrer -> Exécuter -> tape regedit et va successivement :

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

[Microsoft Update 32] wininit.exe<---supprime si présent

MSAOL32dll.exe<---supprime si présent

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

 

[Microsoft Update 32] wininit.exe<---supprime si présent

[notes] notepaad.exe<---supprime si présent

[AOL Instant Messenger dll runtime] MSAOL32dll.exe<---supprime si présent

 

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

[AOL Instant Messenger dll runtime] MSAOL32dll.exe<---supprime si présent

 

Ferme ensuite le registre.

 

8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

9/ Redémarre l'ordinateur en mode normal, recherche le fichier suivant wmplayer.exe (normalement lié a Windows Media Player, mais il peut s agir d un trojan) via "démarrer/rechercher/des fichiers ou des dossiers" puis fait le scanner avec le Virusscan de jotti!

 

10/ Poste moi le rapport du virusscan de jotti accompagné d un nouveau rapport hijackthis fait en mode normal a titre de vérification

Lien vers le commentaire
Partager sur d’autres sites
ENAID Member

ENAID

Posté(e)
  • Auteur
Posté(e)

Bonjour,

Je n’ai pas pu scanner avec le virus scan de Jotti.

Un message apparaît : Autorité NT\system me disant que :

C:// WINDOWS/SYSTEM32/lsass.exe rencontre un « problème » de code d’état 128. L’ordi s’arrête et re-démarre à la suite.

Et, après j’ai beaucoup de mal à accéder à Internet.

De plus, en recherchant le fichier wmplayer.exe, deux « endroits » sont localisés :

- C:/ Programfiles/WindowsMediaPlayer

- C:\WINDOWS\Prefetch

Je ne peux scanner chaque localisation, il faut que je sélectionne un fichier. Or, ils sont nombreux et avec mes difficultés d’accès à Internet, je n’y arrive pas.

Je vous envoie un nouveau log :

Logfile of HijackThis v1.99.1

Scan saved at 15:56:43, on 22/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe

C:\Documents and Settings\diane monchicourt\Local Settings\Temp\Répertoire temporaire 6 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe

O4 - HKLM\..\Run: [CPLDBL10] C:\Program Files\EzButton\CPLDBL10.EXE

O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [MICROSFT MX UPDATE SUPPORT] winmx32.EXE

O4 - HKLM\..\Run: [Compaq Services Drivers] ndt32.exe

O4 - HKLM\..\RunServices: [MICROSFT MX UPDATE SUPPORT] winmx32.EXE

O4 - HKLM\..\RunServices: [Compaq Services Drivers] ndt32.exe

O4 - HKCU\..\Run: [Compaq Services Drivers] ndt32.exe

 

O4 - HKCU\..\RunServices: [Compaq Services Drivers] ndt32.exe

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe

 

 

Encore mille fois merci d’avance!

 

Diane

 

Merci!

Je ne suis pas chez moi donc je ne peux scanner avec le virus scan de Jotti. Mais, dès que je rentre, je vous envoie son rapport ainsi que celui de Hijackthis

encore merci!

Diane

Lien vers le commentaire
Partager sur d’autres sites
Jack_Burton Godlike Member

Jack_Burton

Posté(e)
Posté(e) (modifié)

Salut,

 

Tu es encore tres infecté! La raison en est évidente : aucun parfeu n est présent sur ton systeme! Et meme si le firewall de windows est activé, cela ne résoudra pas le probleme car celui-ci ne filtre pas les fluxs sortants!!

 

Bon voila ce que tu fas faire :

Tu vas installer un vrai parfeu bien paramétré, tu en trouveras 3 gratuits (kerio, sygate ou ZoneAlarm), avec des tutos pour les configurer dans les "consignes de sécurité" en bas pres de ma signature!

Des que tu auras fait cela, tu suivras cette procédure :

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Redémarre en mode sans échec.

 

2/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O4 - HKLM\..\Run: [MICROSFT MX UPDATE SUPPORT] winmx32.EXE

O4 - HKLM\..\Run: [Compaq Services Drivers] ndt32.exe

O4 - HKLM\..\RunServices: [MICROSFT MX UPDATE SUPPORT] winmx32.EXE

O4 - HKLM\..\RunServices: [Compaq Services Drivers] ndt32.exe

O4 - HKCU\..\Run: [Compaq Services Drivers] ndt32.exe

 

O4 - HKCU\..\RunServices: [Compaq Services Drivers] ndt32.exe

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

4/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-winmx32.EXE

-ndt32.exe<----ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!!

 

5/ Nettoyage dans la base de registre:

 

Démarrer -> Exécuter -> tape regedit et va successivement :

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

[MICROSFT MX UPDATE SUPPORT] winmx32.EXE<----supprime si présent

 

[Compaq Services Drivers] ndt32.exe<----supprime si présent

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

 

[MICROSFT MX UPDATE SUPPORT] winmx32.EXE<----supprime si présent

 

[Compaq Services Drivers] ndt32.exe<----supprime si présent

 

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

[Compaq Services Drivers] ndt32.exe<----supprime si présent

 

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

 

[Compaq Services Drivers] ndt32.exe<----supprime si présent

 

Ferme ensuite le registre.

 

6/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

7/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Edit : Ne pas placer Hijackthis dans un dossier temp (temporaire) sinon tu ne pourras pas conserver les sauvegardes des lignes fixées!

Place le ailleurs je te prie!

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites
ENAID Member

ENAID

Posté(e)
  • Auteur
Posté(e)

Bonjour,

j'ai eu beaucoup de mal à installer zone alarm mais ça yest. Je le configure plus tard et je vous envoie le Hijack

encore merci

diane

 

Salut,

 

Tu es encore tres infecté! La raison en est évidente : aucun parfeu n est présent sur ton systeme! Et meme si le firewall de windows est activé, cela ne résoudra pas le probleme car celui-ci ne filtre pas les fluxs sortants!!

 

Bon voila ce que tu fas faire :

Tu vas installer un vrai parfeu bien paramétré, tu en trouveras 3 gratuits (kerio, sygate ou ZoneAlarm), avec des tutos pour les configurer dans les "consignes de sécurité" en bas pres de ma signature!

Des que tu auras fait cela, tu suivras cette procédure :

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Redémarre en mode sans échec.

 

2/ Vérifie d'avoir accès à tous les fichiers

3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O4 - HKLM\..\Run: [MICROSFT MX UPDATE SUPPORT] winmx32.EXE

O4 - HKLM\..\Run: [Compaq Services Drivers] ndt32.exe

O4 - HKLM\..\RunServices: [MICROSFT MX UPDATE SUPPORT] winmx32.EXE

O4 - HKLM\..\RunServices: [Compaq Services Drivers] ndt32.exe

O4 - HKCU\..\Run: [Compaq Services Drivers] ndt32.exe

 

O4 - HKCU\..\RunServices: [Compaq Services Drivers] ndt32.exe

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

4/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-winmx32.EXE

-ndt32.exe<----ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!!

 

5/ Nettoyage dans la base de registre:

 

Démarrer -> Exécuter -> tape regedit et va successivement :

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

[MICROSFT MX UPDATE SUPPORT] winmx32.EXE<----supprime si présent

 

[Compaq Services Drivers] ndt32.exe<----supprime si présent

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

 

[MICROSFT MX UPDATE SUPPORT] winmx32.EXE<----supprime si présent

 

[Compaq Services Drivers] ndt32.exe<----supprime si présent

 

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

[Compaq Services Drivers] ndt32.exe<----supprime si présent

 

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

 

[Compaq Services Drivers] ndt32.exe<----supprime si présent

 

Ferme ensuite le registre.

 

6/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

7/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Edit : Ne pas placer Hijackthis dans un dossier temp (temporaire) sinon tu ne pourras pas conserver les sauvegardes des lignes fixées!

Place le ailleurs je te prie!

Lien vers le commentaire
Partager sur d’autres sites
ENAID Member

ENAID

Posté(e)
  • Auteur
Posté(e)

bONJOUR

J4AI ENFIN CONFIGURER ZA

Voilà le log d'hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 14:01:01, on 25/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\TOSHIBA\Power Management\CePMTray.exe

C:\Program Files\EzButton\CPLDBL10.EXE

C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

C:\Program Files\TOSHIBA\TouchPad\TPTray.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\Documents and Settings\diane monchicourt\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe

O4 - HKLM\..\Run: [CPLDBL10] C:\Program Files\EzButton\CPLDBL10.EXE

O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\RunServices: [Compaq Services Drivers] ndt32.exe

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Je vous écris pour la première fois depuis mon ordi connecté donc il y a de nets progrès!!! Il est encore lent pour ouvrir des fichiers mais bon peut-être vous pourrez me dire ce qu'il en est avec ce nouveau log

 

Avec une vos procédure, j'avais enlevé antivir: est-ce que je dois le remettre maintenant comme antivirus parce que là j'ai rien

 

Mille fois merci

 

diane

Bonjour,

j'ai eu beaucoup de mal à installer zone alarm mais ça yest. Je le configure plus tard et je vous envoie le Hijack

encore merci

diane

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...