C:\\WINDOWS\SYSTEM32\ROFL.SYS

[Jack_Burton]

Bonjour,

 

C:\Documents and Settings\diane monchicourt\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

Ne pas placer Hijackthis dans un dossier temporaire sinon tu ne pourras pas conserver les sauvegardes des lignes fixées!

Chane son emplacement!

 

Il reste encore une saleté!

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Redémarre en mode sans échec.

 

2/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O4 - HKCU\..\RunServices: [Compaq Services Drivers] ndt32.exe

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

4/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-ndt32.exe<---ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!!

 

5/ Nettoyage dans la base de registre:

 

Démarrer -> Exécuter -> tape regedit et va successivement :

 

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

[Compaq Services Drivers] ndt32.exe<---supprime si présent

 

Ferme ensuite le registre.

 

6/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

7/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Avec une vos procédure, j'avais enlevé antivir: est-ce que je dois le remettre maintenant comme antivirus parce que là j'ai rien

Ben si tu n as aucun antivirus tu peux effectivement conserver Antivir qui est a la fois gratuit, leger et performant!

[ENAID]

re-bonjour,

 

"Ne pas placer Hijackthis dans un dossier temporaire sinon tu ne pourras pas conserver les sauvegardes des lignes fixées!

Chane son emplacement!

"

je ne comprends, vous m'avez dis de le placer dans C/ program files/hijackthis et c ce que j'ai fait. Pouvez-vous me préciser votre conseil, SVP?

je suis votre procédure.

à tout de suite

diane

 

Bonjour,

Ne pas placer Hijackthis dans un dossier temporaire sinon tu ne pourras pas conserver les sauvegardes des lignes fixées!

Chane son emplacement!

 

Il reste encore une saleté!

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Redémarre en mode sans échec.

 

2/ Vérifie d'avoir accès à tous les fichiers

3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O4 - HKCU\..\RunServices: [Compaq Services Drivers] ndt32.exe

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

4/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-ndt32.exe<---ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!!

 

5/ Nettoyage dans la base de registre:

 

Démarrer -> Exécuter -> tape regedit et va successivement :

 

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

[Compaq Services Drivers] ndt32.exe<---supprime si présent

 

Ferme ensuite le registre.

 

6/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

7/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Ben si tu n as aucun antivirus tu peux effectivement conserver Antivir qui est a la fois gratuit, leger et performant!

[ENAID]

Voilà le log:

Logfile of HijackThis v1.99.1

Scan saved at 14:36:43, on 25/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\TOSHIBA\Power Management\CePMTray.exe

C:\Program Files\EzButton\CPLDBL10.EXE

C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

C:\Program Files\TOSHIBA\TouchPad\TPTray.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\Documents and Settings\diane monchicourt\Local Settings\Temp\Répertoire temporaire 3 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe

O4 - HKLM\..\Run: [CPLDBL10] C:\Program Files\EzButton\CPLDBL10.EXE

O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

merci

diane

re-bonjour,

 

"Ne pas placer Hijackthis dans un dossier temporaire sinon tu ne pourras pas conserver les sauvegardes des lignes fixées!

Chane son emplacement!

"

je ne comprends, vous m'avez dis de le placer dans C/ program files/hijackthis et c ce que j'ai fait. Pouvez-vous me préciser votre conseil, SVP?

je suis votre procédure.

à tout de suite

diane

[Jack_Burton]

Re bonjour,

 

Ton dernier rapport est propre!

Je ne vois plus rien d infectueux!

As tu toujours des dysfonctionnements?

 

je ne comprends, vous m'avez dis de le placer dans C/ program files/hijackthis et c ce que j'ai fait. Pouvez-vous me préciser votre conseil, SVP?

 

Ben pourtant sur ton rapport, il n est pas placé a l endroit que tu m indiques!

 

C:\Documents and Settings\diane monchicourt\Local Settings\Temp\Répertoire temporaire 3 pour hijackthis.zip\HijackThis.exe

[ENAID]

Je viens d'intsaller antivir et il m'a détecté 5 virus dont ceux que j'ai "pourchassé": rbot, sbot, MAOL32, etc.

Mais bon, je les ai effacé.

Je vous tiens au courant si j'observe des dysfonctionnements

merci pour tout

diane

Re bonjour,

 

Ton dernier rapport est propre!

Je ne vois plus rien d infectueux!

As tu toujours des dysfonctionnements?

Ben pourtant sur ton rapport, il n est pas placé a l endroit que tu m indiques!

[Jack_Burton]

J aimerais que tu fasses scanner ton systeme avec Ewido :

 

Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

[ENAID]

Bonjour,

Malheureusement me revoilà!

Donc, les fenêtres (internet ou de fichier) que j'ouvre ne répondent pas et je ne peux les fermer.

J'ai lancé antivir, nettoyer avec easycleaner.

Je vous envoie un nouveau log:

Logfile of HijackThis v1.99.1

Scan saved at 11:30:17, on 28/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\diane monchicourt\Local Settings\Temp\Répertoire temporaire 6 pour hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe

O4 - HKLM\..\Run: [CPLDBL10] C:\Program Files\EzButton\CPLDBL10.EXE

O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Pouvez-vous me conseiller à nouveau?

Merci

diane

 

 

Je viens d'intsaller antivir et il m'a détecté 5 virus dont ceux que j'ai "pourchassé": rbot, sbot, MAOL32, etc.

Mais bon, je les ai effacé.

Je vous tiens au courant si j'observe des dysfonctionnements

merci pour tout

diane

[Jack_Burton]

Bonjour,

 

Pouvez-vous me conseiller à nouveau?

Je te conseille mais tu n écoutes pas!!!

 

Je t ai demandé de mettre hijackthis dans un autre dossier puis de scanner ton systeme avec Ewido :

 

J aimerais que tu fasses scanner ton systeme avec Ewido :

 

Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Modifié le 28 novembre 2005 par Jack_Burton

[ENAID]

Je vous prie de m'excuser:

- je n'avais pas vu votre mess au sujet de ewindo car nous sommes passés à la deuxième page et je ne m'en étais pas rendu compte. Le dernier mess de la page 1 était le mien.

- pour les log de Hijackthis, j'enregistre sous poste de travail/C/ Program files/ Hijackthis en ajoutant un numéro d'après l'ordre d'enregistrement. Quelle est mon erreur?

 

Voici, le rapport de ewindo:

---------------------------------------------------------

ewido security suite - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 12:02:08, 28/11/2005

+ Somme de contrôle: B805E992

 

+ Résultats du scan:

 

HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Nettoyer et sauvegarder

HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Erreur durant le nettoyage

C:\Documents and Settings\diane monchicourt\Cookies\diane [email protected][1].txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder

C:\Documents and Settings\diane monchicourt\Cookies\diane monchicourt@weborama[1].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\diane monchicourt\Cookies\diane [email protected][1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\diane monchicourt\msdirectx.sys -> Trojan.Rootkit.h : Nettoyer et sauvegarder

C:\Program Files\AVPersonal\INFECTED\MSAOL32dll.VIR -> Backdoor.Rbot : Nettoyer et sauvegarder

C:\Program Files\AVPersonal\INFECTED\MSAOL32dll.VIR00 -> Backdoor.Rbot : Nettoyer et sauvegarder

C:\Program Files\AVPersonal\INFECTED\MSAOL32dll.VIR01 -> Backdoor.Rbot : Nettoyer et sauvegarder

C:\WINDOWS\system32\msdirectx.sys -> Trojan.Rootkit.h : Nettoyer et sauvegarder

C:\WINDOWS\system32\winmx32.EXE -> Backdoor.IRCBot.az : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

Merci Diane

 

Bonjour,

Je te conseille mais tu n écoutes pas!!!

 

Je t ai demandé de mettre hijackthis dans un autre dossier puis de scanner ton systeme avec Ewido :

[Jack_Burton]

Je vous prie de m'excuser:

 

Oula!!! Tu peux me tutoyer

 

Voila, encore une nouvelle fois, Ewido a tres bien travaillé! Il a détecté sur ton systeme 2 trojans tres néfastes

 

C:\WINDOWS\system32\msdirectx.sys -> Trojan.Rootkit.h : Nettoyer et sauvegarder

C:\WINDOWS\system32\winmx32.EXE -> Backdoor.IRCBot.az : Nettoyer et sauvegarder

 

Ce logiciel est vraiment excellent (oui oui, je fais de la pub )

 

As tu toujours des dysfonctionnements?