Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

C:\WINDOWS\SYSTEM32\RDRIV.SYS

Roni

Par Roni
dans Analyses et éradication malwares

 Partager

Messages recommandés

Roni Junior Member

Roni

Posté(e)
Posté(e)

Bonjour à tous !

Si quelqu'un pouvait m'aider à me débarasser de ce maudit Trojan en analysant mon rapport Hijackthis.

 

Logfile of HijackThis v1.99.1

Scan saved at 20:11:42, on 30/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 216.180.239.154 bancopostaonline.poste.it

O1 - Hosts: 216.180.239.154 www.rasbank.it

O1 - Hosts: 216.180.239.154 www.credem.it

O1 - Hosts: 216.180.239.154 mybank.bybank.it

O1 - Hosts: 216.180.239.154 www.bancagenerali.it

O1 - Hosts: 216.180.239.154 www.bancaintesa.it

O1 - Hosts: 216.180.239.154 www.creval.it

O1 - Hosts: 216.180.239.154 ibank.internationalbanking.barclays.com

O1 - Hosts: 216.180.239.154 www.abbeyinternational.com

O1 - Hosts: 216.180.239.154 www.bbvanet.com

O1 - Hosts: 216.180.239.154 www.fineco.it

O1 - Hosts: 216.180.239.154 www.cajamar.es

O1 - Hosts: 216.180.239.154 welcome7.co-operativebank.co.uk

O1 - Hosts: 216.180.239.154 welcome11.co-operativebankonline.co.uk

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [icon Phile] C:\Documents and Settings\Maxx\Bureau\PSP\PSPc look\Iphile.exe -trans

O4 - HKCU\..\Run: [steam] E:\Jeux\Valve\Steam.exe -silent

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe

O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Program Files\ScanSoft\NaturallySpeaking\Program\natspeak.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} (NowStarter Control) - http://www.clubbox.co.kr/neo.fld/NowStarter.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - D:\Program Files\FileZilla Server\FileZilla Server.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\Program Files\Kerio\Personal Firewall\persfw.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: serviceMangr (tcphost.exe) - Unknown owner - C:\WINDOWS\tcphost.exe

 

 

Merci d'avance !

Mark Godlike Member

Mark

Posté(e)
Posté(e) (modifié)

Imprime ces instructions, ou colle les dans un fichier texte pour lecture en mode sans échec.

 

Télécharge les programmes suivants ; ne pas les lancer tout de suite !:

 

* rdrivRem.zip

  • Dézippe-le sur ton Bureau.
     
    Lance Ewido et fais sa mise à jour. Ferme le programme pour l'instant.

* CleanUp!

  • Sauvegarde-le sur ton Bureau.

Redémarre en mode Sans Échec. >> Redémarre et tapote la touche F8 immédiatement, jusqu'à ce que tu vois une page avec options de démarrage ; avec les flèches du clavier, choisi "Mode sans échec" et valide avec "Entrée". Choisi ton compte usuel, et non Administrateur.

 

1.) Ouvre le dossier rdrivrem et double-clique sur rdrivRem.bat pour lancer le programme - suis les instructions à l'écran. Une fois terminé, un fichier rdriv.txt sera créé dans le dossier rdrivRem.

 

2.) Lance Ewido et laisse-le tuer tous les fichiers infectés. Sauvegarde le rapport.

 

3.) Lance Cleanup! en double-cliquant Cleanup40.exe sur ton Bureau. Installe-le, puis lance le nettoyage.

**S'il te demande de redémarrer, clique No.

 

Redémarre ton PC normalement.

 

4.) Assure-toi que ton firewall fonctionne normalement, donc aucune boîtes "grises" ou options désactivées. Vérifie pour l'antivirus également (si tu peux activer/désactiver le bouclier résident et faire la MAJ..)

 

5.) Fais deux scans en ligne (scan tout le PC, et tue tout ce qui est trouvé) :

ActiveScan

TrendMicro's HouseCall

 

Sauvegarde le rapport généré par ActiveScan (HouseCall ne produit pas de rapport texte).

 

Poste le contenu du fichier rdriv.txt, le rapport d'Ewido, le rapport d'ActiveScan, et un nouveau rapport HijackThis! (mode Normal) dans ta prochaine réponse.

Modifié par Qc001
Roni Junior Member

Roni

Posté(e)
  • Auteur
Posté(e)

rdriv.txt

 

~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~

 

rdriv.sys PRESENT!

ItunesMusic.exe NOT PRESENT!

wkssvc.exe NOT PRESENT!

 

 

~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~

 

rdriv.sys NOT PRESENT!

ItunesMusic.exe NOT PRESENT!

wkssvc.exe NOT PRESENT!

 

 

Rapport d'Ewido

 

---------------------------------------------------------

ewido security suite - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 22:41:53, 30/11/2005

+ Somme de contrôle: 74A8797F

 

+ Résultats du scan:

 

:mozilla.44:C:\Documents and Settings\Maxx\Application Data\Mozilla\Firefox\Profiles\3obtrtm6.default\cookies.txt -> Spyware.Cookie.Statcounter : Nettoyer et sauvegarder

:mozilla.45:C:\Documents and Settings\Maxx\Application Data\Mozilla\Firefox\Profiles\3obtrtm6.default\cookies.txt -> Spyware.Cookie.Statcounter : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Rapport d'ActiveScan

 

Incident Status Location

 

Hacktool:hacktool/rootkit.a Not desinfected C:\WINDOWS\SYSTEM32\rdriv.sys

Virus:Bck/Sdbot.FHR Disinfected C:\WINDOWS\system32\eraseme_12517.exe

Virus:W32/Sdbot.ftp Disinfected C:\WINDOWS\system32\i

Hacktool:Hacktool/Rootkit.L Not desinfected C:\WINDOWS\system32\rdriv.sys

Virus:Bck/Sdbot.FHR Disinfected C:\WINDOWS\tcphost.exe

 

 

Nouveau rapport HijackThis!

 

Logfile of HijackThis v1.99.1

Scan saved at 00:45:03, on 01/12/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

E:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

D:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\WINDOWS\System32\ctfmon.exe

D:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\tsc.exe

C:\PROGRAM FILES\AVPERSONAL\GUARDGUI.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\tcphost.exe

C:\PROGRAM FILES\AVPERSONAL\GUARDGUI.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 216.180.239.154 bancopostaonline.poste.it

O1 - Hosts: 216.180.239.154 www.rasbank.it

O1 - Hosts: 216.180.239.154 www.credem.it

O1 - Hosts: 216.180.239.154 mybank.bybank.it

O1 - Hosts: 216.180.239.154 www.bancagenerali.it

O1 - Hosts: 216.180.239.154 www.bancaintesa.it

O1 - Hosts: 216.180.239.154 www.creval.it

O1 - Hosts: 216.180.239.154 ibank.internationalbanking.barclays.com

O1 - Hosts: 216.180.239.154 www.abbeyinternational.com

O1 - Hosts: 216.180.239.154 www.bbvanet.com

O1 - Hosts: 216.180.239.154 www.fineco.it

O1 - Hosts: 216.180.239.154 www.cajamar.es

O1 - Hosts: 216.180.239.154 welcome7.co-operativebank.co.uk

O1 - Hosts: 216.180.239.154 welcome11.co-operativebankonline.co.uk

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKLM\..\RunOnce: [Panda_cleaner_214763] C:\WINDOWS\System32\ActiveScan\pavdr.exe 214763

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [icon Phile] C:\Documents and Settings\Maxx\Bureau\PSP\PSPc look\Iphile.exe -trans

O4 - HKCU\..\Run: [steam] E:\Jeux\Valve\Steam.exe -silent

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe

O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Program Files\ScanSoft\NaturallySpeaking\Program\natspeak.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} (NowStarter Control) - http://www.clubbox.co.kr/neo.fld/NowStarter.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - D:\Program Files\FileZilla Server\FileZilla Server.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\Program Files\Kerio\Personal Firewall\persfw.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: serviceMangr (tcphost.exe) - Unknown owner - C:\WINDOWS\tcphost.exe

Mark Godlike Member

Mark

Posté(e)
Posté(e) (modifié)

Bonjour Roni :P

 

Merci d'avoir complété la procédure, qui n'était pas simple !! Bon, il reste deux fichiers infectieux, alors on poursuit avec ceci :

 

Télécharge KillBox (d'Option^Explicit) de ce lien :

http://www.atribune.org/downloads/KillBox.exe

 

..et sauvegarde-le sur ton Bureau.

 

Clique sur "Démarrer" >> "Exécuter" et tape ceci : services.msc

 

..puis valide avec "OK". Dans la liste des services, trouve celui-ci : MicroSoft Media Tools. Double-clique dessus, puis clique sur le bouton "Arrêter". Dans la boîte au-dessus, choisi "Désactivé" puis ferme la fenêtre avec "OK".

 

 

Lance KillBox en double-cliquant sur KillBox.exe ;

 

Coche "Delete on Reboot" ;

 

Clique sur le menu "Options" >> "Delete on Reboot" et clique "Process All in List" ;

 

Sélectionne les deux fichiers ci-dessous avec ta souris et ensuite appuie sur les touches CTRL- C :

 

C:\WINDOWS\system32\rdriv.sys

C:\WINDOWS\MSmedia.exe

 

Dans KillBox, clique sur le menu "File", puis sur "Paste from Clipboard"

Clique sur le petit cercle rouge avec croix blanche

Clique OUI pour "Delete on Reboot", et puis clique NON pour "Pending Operations"

Si KillBox ne redémarre pas ton PC automatiquement, il faut le redémarrer à la régulière.

 

Lance un nouveau scan avec Panda ActiveScan, puis colle le rapport ici, dans ta prochaine réponse, avec un nouveau rapport HijackThis! également.

 

Je voudrais également savoir si tu fais des transactions bancaires avec une des institutions mentionnées dans ces lignes :

 

O1 - Hosts: 216.180.239.154 bancopostaonline.poste.it

O1 - Hosts: 216.180.239.154 www.rasbank.it

O1 - Hosts: 216.180.239.154 www.credem.it

O1 - Hosts: 216.180.239.154 mybank.bybank.it

O1 - Hosts: 216.180.239.154 www.bancagenerali.it

O1 - Hosts: 216.180.239.154 www.bancaintesa.it

O1 - Hosts: 216.180.239.154 www.creval.it

O1 - Hosts: 216.180.239.154 ibank.internationalbanking.barclays.com

O1 - Hosts: 216.180.239.154 www.abbeyinternational.com

O1 - Hosts: 216.180.239.154 www.bbvanet.com

O1 - Hosts: 216.180.239.154 www.fineco.it

O1 - Hosts: 216.180.239.154 www.cajamar.es

O1 - Hosts: 216.180.239.154 welcome7.co-operativebank.co.uk

O1 - Hosts: 216.180.239.154 welcome11.co-operativebankonline.co.uk

 

Si la réponse est Non, on va nettoyer tout ça :P

Modifié par Qc001
Roni Junior Member

Roni

Posté(e)
  • Auteur
Posté(e)

Bonjour Qc001 !

 

Voilà mon rapport d'ActiveScan :

 

Incident Status Location

 

Hacktool:Hacktool/Rootkit.L Not desinfected

 

 

et le nouveau rapport HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 13:00:59, on 01/12/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

D:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\AVPersonal\AVGNT.EXE

E:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\iPod\bin\iPodService.exe

D:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 216.180.239.154 bancopostaonline.poste.it

O1 - Hosts: 216.180.239.154 www.rasbank.it

O1 - Hosts: 216.180.239.154 www.credem.it

O1 - Hosts: 216.180.239.154 mybank.bybank.it

O1 - Hosts: 216.180.239.154 www.bancagenerali.it

O1 - Hosts: 216.180.239.154 www.bancaintesa.it

O1 - Hosts: 216.180.239.154 www.creval.it

O1 - Hosts: 216.180.239.154 ibank.internationalbanking.barclays.com

O1 - Hosts: 216.180.239.154 www.abbeyinternational.com

O1 - Hosts: 216.180.239.154 www.bbvanet.com

O1 - Hosts: 216.180.239.154 www.fineco.it

O1 - Hosts: 216.180.239.154 www.cajamar.es

O1 - Hosts: 216.180.239.154 welcome7.co-operativebank.co.uk

O1 - Hosts: 216.180.239.154 welcome11.co-operativebankonline.co.uk

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [icon Phile] C:\Documents and Settings\Maxx\Bureau\PSP\PSPc look\Iphile.exe -trans

O4 - HKCU\..\Run: [steam] E:\Jeux\Valve\Steam.exe -silent

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe

O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Program Files\ScanSoft\NaturallySpeaking\Program\natspeak.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} (NowStarter Control) - http://www.clubbox.co.kr/neo.fld/NowStarter.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - D:\Program Files\FileZilla Server\FileZilla Server.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\Program Files\Kerio\Personal Firewall\persfw.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: serviceMangr (tcphost.exe) - Unknown owner - C:\WINDOWS\tcphost.exe (file missing)

 

Sinon, je n'ai fait aucune transaction bancaire avec l'une des institutions mentionnées aux lignes O1 - Hosts ! :P

Mark Godlike Member

Mark

Posté(e)
Posté(e) (modifié)

Bonjour Roni :-P

 

Coriace ce rdriv.sys.. mais on lui fait mal, alors continuons :P

 

Ok, assure-toi de bien voir tous les fichiers cachés en faisant ceci :

 

*Ouvre l'Explorateur Windows (clic-droit sur "Démarrer" et choisi "Explorer" ;

*Du menu "Outils" (au haut), choisi "Options des dossiers..", et puis l'onglet "Affichage" ;

*Coche "Afficher le contenu des dossiers Système", et sous "Fichiers et Dossiers cachés", coche "Afficher les fichiers et dossiers cachés"

 

Clique sur "Démarrer" >> "Exécuter" et tape cmd et valide avec "Entrée" ;

Tape ces deux commandes, en validant avec "Entrée" après chacune :

 

sc stop serviceMangr

sc delete serviceMangr

 

Tape exit puis valide pour fermer la fenêtre DOS.

 

Lance HijackThis! et fait un "Do a system scan only", puis coche les lignes prescrites ci-dessous, ferme toutes les autres fenêtres/programmes ouverts et clique "Fix checked" :

 

O1 - Hosts: 216.180.239.154 bancopostaonline.poste.it

O1 - Hosts: 216.180.239.154 www.rasbank.it

O1 - Hosts: 216.180.239.154 www.credem.it

O1 - Hosts: 216.180.239.154 mybank.bybank.it

O1 - Hosts: 216.180.239.154 www.bancagenerali.it

O1 - Hosts: 216.180.239.154 www.bancaintesa.it

O1 - Hosts: 216.180.239.154 www.creval.it

O1 - Hosts: 216.180.239.154 ibank.internationalbanking.barclays.com

O1 - Hosts: 216.180.239.154 www.abbeyinternational.com

O1 - Hosts: 216.180.239.154 www.bbvanet.com

O1 - Hosts: 216.180.239.154 www.fineco.it

O1 - Hosts: 216.180.239.154 www.cajamar.es

O1 - Hosts: 216.180.239.154 welcome7.co-operativebank.co.uk

O1 - Hosts: 216.180.239.154 welcome11.co-operativebankonline.co.uk

 

O23 - Service: serviceMangr (tcphost.exe) - Unknown owner - C:\WINDOWS\tcphost.exe (file missing)

 

Ferme HijackThis! Avec l'Explorateur Windows, trouve ce fichier, s'il existe toujours, et supprime le :

 

C:\WINDOWS\tcphost.exe <<

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Télécharge le Hoster (de Funkytoad) de ce lien, et dézippe-le sur ton Bureau :

http://www.funkytoad.com/download/hoster.zip

 

Lance le Hoster et clique Restore original Hosts, puis ferme-le.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Je vais te faire passer un scan avec le eScan Antivirus Toolkit. Imprime ces instructions (ou colle les dans un fichier texte) pour lecture en mode Sans Échec.

 

Étape 1:

Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

 

Étape 2:

Voici comment mettre l'outil à jour :

 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

 

Ne pas lancer le scan tout de suite !

 

Étape 3:

Redémarre en mode Sans Échec

 

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

 

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse, avec un nouveau rapport HijackThis! également. :P

Modifié par Qc001
Roni Junior Member

Roni

Posté(e)
  • Auteur
Posté(e)

Qaund j'ai tapé les commandes sc stop serviceMangr et sc delete serviceMangr, il m'a été indiqué à chaque fois :

"[sC] OpenService FAILED 1060:

Le service spécifié n'existe pas en tant que service installé". :P

 

Je continue la suite de la procédure ?

Mark Godlike Member

Mark

Posté(e)
Posté(e) (modifié)

Ok, fais comme ceci :

 

"Démarrer" >> "Exécuter" >> tape services.msc

 

Trouve serviceMangr, s'il existe, puis "Stop" et "Désactivé" (comme avant..).

 

Poursuis avec le reste :P

 

Edit : Salut S.Birkoff :P

Modifié par Qc001

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...