Kernels64.exe

[capallou]

salut

 

J'ai fais un scan avec un anti virus en ligne il m'a detecte kernels64.exe,alors que mon anti virus avast lui ne l'a pas detecte,puis je le supprimer merci de vos reponse

[regis56]

Bonjour capallou et bienvenu sur le forum zeb-sécu !

 

A tu suivi la procédure de mégataupe ?

 

Sinon va voir ici

 

Pour savoir si le fichier a été éliminé va voir directement ici :

 

C:\Windows\System32\kernels64.exe

 

Tiens nous au courant a plus !

[bruce lee]

bonjour capallou oui ce kernels64.exe peut etre supprimer

 

Nb: salut regis 56

 

capallou suis les instructions de regis et post un rapport hijackthis pour etre sur qu'il n'y est pas d'autres bestioles.

Modifié le 24 février 2006 par bruce lee

[capallou]

bonjour capallou oui ce kernels64.exe peut etre supprimer

 

Nb: salut regis 56

 

capallou suis les instructions de regis et post un rapport hijackthis pour etre sur qu'il n'y est pas d'autres bestioles.

 

 

Salut voila le rapport

 

Logfile of HijackThis v1.99.0

Scan saved at 18:51:46, on 24/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ZoneAlarm\zlclient.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Crazy Browser\Crazy Browser.exe

G:\telechargement\logiciel\AD-AWARE\Solution pour un trojan tenace\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://freebox.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://freebox.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O14 - IERESET.INF: START_PAGE_URL=http://freebox.free.fr/

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A34E11F5-99A9-4CC9-8855-7330E0913F3B}: NameServer = 212.27.54.252 212.27.53.252

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ADSLAutoconnect - Unknown - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[bruce lee]

re,

analyse en cours retour dans 10 minutes

[regis56]

Re

 

A priori rien de méchant attend la procédure d'un conseiller en sécurité !

 

A plus !

 

oupps grillé bruce lee

Modifié le 24 février 2006 par regis56

[bruce lee]

ton log hijackthis est tout propre!

as tu encore des problemes?

[regis56]

Re

 

Si je peut me permettre tout propre est vite dis !

 

J'ai trouvé que la ligne

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

 

Semblait louche quand même !

 

A plus !

[capallou]

Salut

non pour le moment ca va le probleme c'est que je pensai avoir une grosse merde c'est pour ca que j'ai fait un scan car quant je me connecter a mon serveur free au bout de 3/4 heures il se deconnecter eet impossible de me reconnecter sans eteindre le pc,alors j'avais mis a jours les drivers de mon modem sagem mais le probleme persiste alors c'est pour ca que je pensai avoir un virus

[regis56]

Re

 

Tu a suivi la procédure c'est bien !

 

Ton rapport montre encore quelques signes donc attend la procédure d'un conseiller en sécurité !

 

Peut tu nous dire si le fichier en gras est toujours présent ?

 

C:\Windows\System32\kernels64.exe

 

En attendant tu peut faire ceci

 

Copier ses instructions dans un fichier texte car en mode sans échec

on n'a pas accès à internet.

Si certains points ne sont pas compris demander conseils avant de commencer !

 

1/-Télécharger et installer EasyCleaner de Toni Helenius : (Programme faisant parti de la catégorie des nettoyeurs)

http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/-Télécharger Ewido: (Programme faisant parti des antymalwares)

http://www.ewido.net/fr/download/

 

Installer et mettre à jour.

 

Important: Pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu".

 

Démarrer Ewido avec l'icône qui se trouve sur le Bureau. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

3/ Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

 

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5]

jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"

et appuyer sur [Entrée].

 

4/lancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher "Effectuer cette action avec toutes les infections".

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

5/ Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

 

-Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

 

6/ Redémarrer en mode normal.

 

-Mettre un nouveau rapport HijackThis

 

-Poster le rapport Ewido

 

-Indiquer si le Pc présente encore des dysfonctionnements

 

Bon courage a plus !