Processus suspects

Processus suspects - Sécurité - Windows & Software

Marsh Posté le 08-06-2005 à 13:45:57    

Bonjour,
je viens de realiser un scan avec HiJackThis et j'obtiens le log suivant :  
 
 
Logfile of HijackThis v1.99.1
Scan saved at 13:36:41, on 08/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msnq3insller.exe
C:\Documents and Settings\tom\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\bdnagent.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
O4 - Startup: Resume Windows Update Installation.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 8167188733
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
 
 
 
 
 
 
 
 
certains processus me semble bizarre :
- winDLL32.exe
- C:\WINDOWS\System32\msnq3insller.exe         O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
- O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
 
 
 
sinon quand j'execute msconfig, j'ai 2 processus rundll32.exe lancé au demarrage :
NvCpl et NvMcTray
nvclp se trouve dan le registre : HKLM\SOFTAWARE\Microsoft\Windows\currentVersion\Run
nvmctray                        : \softaware\Microsoft\windows\currentversion\run    
 
Voila si qq1 peut apporter la lumiere sur ce log afin que j'élimine (si besoin) les differents valoir ki pourrait affecter mon PC.
 
Merci pour toute aide

Reply

Marsh Posté le 08-06-2005 à 13:45:57   

Reply

Marsh Posté le 08-06-2005 à 14:17:14    

C:\UNMT.EXE >> W32/Sdbot worm infection  
winDLL32.exe  >> TrojanProxy.Win32.Mitglieder.bi  
 
nwiz.exe c'est normal c l'itilitaire nvidia sauf erreur de ma part
 
pour le reste je c po, je telechargerai une version d'evaluation de kaspersky et je ferais un scann a ta place
 

Reply

Marsh Posté le 08-06-2005 à 15:22:10    

NvCpl et NvMcTray ainsi que nwiz.exe, je confirme Nvidia

Reply

Marsh Posté le 08-06-2005 à 15:30:12    

Bonjour, je regarde ton rapport, réponse dans un moment.

Reply

Marsh Posté le 08-06-2005 à 15:43:57    

Re, télécharge et installe cet utilitaire:
http://www.ccleaner.com/ccdownload.asp
 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
 
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
 
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
 
Démarre en mode sans échec (F8 ou F5)
 
Assure toi d'avoir accès à tous les fichiers.
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :  
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


 
Supprime les fichiers incriminés (s'ils existent encore):
 
C:\UNMT.EXE
winDLL32.exe
msnq3insller.exe< utilise la fonction rechercher localisation probable: C:\WINDOWS\System32\
 
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
Exécute CCleaner sur chaque session utilisateur.
 
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.
 
Fais un scan sur:
http://www.pandasoftware.com/activescan/  
 
Colle le rapport ici.
 
 

Reply

Marsh Posté le 08-06-2005 à 18:31:28    

Tout d'abord je tenai a vous remercier pour avoir reagi aussi rapidement !!! =^-^=
 
stoneangel j'ai suivi ta méthode :
- download de ccleaner
- item fixed :  O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
                O4 - HKLM\..\Run: [Windows Dynamic Loading Header] winDLL32.exe
                O4 - HKLM\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
                O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
                O4 - HKCU\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
                O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
                O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
                O15 - ProtocolDefaults:   'http' protocol is in My Computer Zone, should be Internet Zone  
 
sauf pour celui ci impossible de le trouver : O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
 
j'ai ensuite redemarrer en mode sans echec
j'ai verifier que jaffichait tous les dossiers (option des dossier -> afficher les fichier caché) mais impossible de trouver les fichiers :  (en faisant recherche manuelle dans arborescence + recherche auto)
C:\UNMT.EXE
winDLL32.exe
msnq3insller.exe
 
j'ai ensuite executer ccleaner sur mes 2 sessions, et j'ai suppr ce qu'il a trouvé
j'ai remodifier les option de dossier pour les cachers
et j'ai redemarrer
 
voici le nouvo rapport de HiJackThis :
 
Logfile of HijackThis v1.99.1
Scan saved at 18:21:50, on 08/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
D:\HiJackThis\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\bdnagent.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Startup: Resume Windows Update Installation.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 8167188733
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
 
 
 
 
la je vais effectuer un scan avec mon antivirus bittorent + un scan online sur panda
 
Merci encore
a bientot
 

Reply

Marsh Posté le 08-06-2005 à 18:49:50    

Bonsoir, ton rapport est propre. Reste à effectuer les scans par sécurité.

Reply

Marsh Posté le 08-06-2005 à 19:41:37    

je vien d'effectuer le scan avec bittorent et voici le rapport :  
 
 
//-----------------------------------------------------------------
//
// Product: BitDefender 8 Professional Plus
// Version: 8.0
//
// Créé le:  08/06/2005 19:23:54
//
//-----------------------------------------------------------------
 
 
Statistiques
 
Chemin cible:  C:\
Dossiers  : 948
Fichiers  :  44136
Archives : 519  
Fichiers empaquetés  : 2012
Virus trouvés   : 3
Fichiers infectés   : 29
Alertes   : 0
Fichiers suspects   : 0
Fichiers désinfectés   : 0
Fichiers effacés   : 29
Fichiers copiés   : 0
Fichiers déplacés : 0
Fichiers renommés   : 0
Erreurs I/O   : 25
Temps d'analyse   := 00:08:37
Fichiers/seconde   :85
 
Définitions virus  : 167487
Plugins d'analyse : 13
Plugins archives : 39
Plug-ins décompression : 4
Plug-ins messagerie : 6
Plug-ins système : 1
 
 
Sommaire :
 
C:\sp1updte65.exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\sp1updte65.exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\sp1updte65.exe=>(RAR Sfx o)=>re11.REG Effacé
C:\sp1updte65.exe=>(RAR Sfx o) Mise à jour impossible
C:\sp1updte65.exe=>(RAR Sfx o)=>xpupdate2a.exe Infectés avec Trojan.Lowzones.K
C:\sp1updte65.exe=>(RAR Sfx o)=>xpupdate2a.exe Désinfection impossible
C:\sp1updte65.exe=>(RAR Sfx o)=>xpupdate2a.exe Effacé
C:\sp1updte65.exe=>(RAR Sfx o) Mise à jour impossible
C:\sys32patch43.exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\sys32patch43.exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\sys32patch43.exe=>(RAR Sfx o)=>re11.REG Effacé
C:\sys32patch43.exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\re11.REG Désinfection impossible
C:\WINDOWS\re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\deds2[1].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\deds2[1].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\deds2[1].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\deds2[1].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\gamma[1].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\gamma[1].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\gamma[1].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\gamma[1].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\gamma[1].exe=>(RAR Sfx o)=>xpupdate2a.exe Infectés avec Trojan.Lowzones.K
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\gamma[1].exe=>(RAR Sfx o)=>xpupdate2a.exe Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\gamma[1].exe=>(RAR Sfx o)=>xpupdate2a.exe Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\gamma[1].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\hempy[1].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\hempy[1].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\hempy[1].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\hempy[1].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\hempy[1].exe=>(RAR Sfx o)=>spupdate.exe Infectés avec Trojan.Lowzones.K
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\hempy[1].exe=>(RAR Sfx o)=>spupdate.exe Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\hempy[1].exe=>(RAR Sfx o)=>spupdate.exe Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\IHUT1HTT\hempy[1].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[1].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[1].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[1].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[1].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[2].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[2].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[2].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[2].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[3].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[3].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[3].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[3].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[4].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[4].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[4].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[4].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[5].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[5].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[5].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\deds2[5].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[1].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[1].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[1].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[1].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[1].exe=>(RAR Sfx o)=>xpupdate2a.exe Infectés avec Trojan.Lowzones.K
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[1].exe=>(RAR Sfx o)=>xpupdate2a.exe Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[1].exe=>(RAR Sfx o)=>xpupdate2a.exe Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[1].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[2].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[2].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[2].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[2].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[2].exe=>(RAR Sfx o)=>xpupdate2a.exe Infectés avec Trojan.Lowzones.K
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[2].exe=>(RAR Sfx o)=>xpupdate2a.exe Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[2].exe=>(RAR Sfx o)=>xpupdate2a.exe Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[2].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[3].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[3].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[3].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[3].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[3].exe=>(RAR Sfx o)=>xpupdate2a.exe Infectés avec Trojan.Lowzones.K
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[3].exe=>(RAR Sfx o)=>xpupdate2a.exe Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[3].exe=>(RAR Sfx o)=>xpupdate2a.exe Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[3].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[4].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[4].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[4].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[4].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[4].exe=>(RAR Sfx o)=>xpupdate2a.exe Infectés avec Trojan.Lowzones.K
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[4].exe=>(RAR Sfx o)=>xpupdate2a.exe Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[4].exe=>(RAR Sfx o)=>xpupdate2a.exe Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\R8EM8SX7\gamma[4].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\deds2[1].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\deds2[1].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\deds2[1].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\deds2[1].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[1].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[1].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[1].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[1].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[1].exe=>(RAR Sfx o)=>xpupdate2a.exe Infectés avec Trojan.Lowzones.K
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[1].exe=>(RAR Sfx o)=>xpupdate2a.exe Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[1].exe=>(RAR Sfx o)=>xpupdate2a.exe Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[1].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[2].exe=>(RAR Sfx o)=>re11.REG Infectés avec Trojan.WinREG.LowZones.A
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[2].exe=>(RAR Sfx o)=>re11.REG Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[2].exe=>(RAR Sfx o)=>re11.REG Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[2].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[2].exe=>(RAR Sfx o)=>xpupdate2a.exe Infectés avec Trojan.Lowzones.K
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[2].exe=>(RAR Sfx o)=>xpupdate2a.exe Désinfection impossible
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[2].exe=>(RAR Sfx o)=>xpupdate2a.exe Effacé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\YM63UQM3\gamma[2].exe=>(RAR Sfx o) Mise à jour impossible
C:\WINDOWS\system32\TFTP1544 Infectés avec Backdoor.Codbot.AD
C:\WINDOWS\system32\TFTP1544 Désinfection impossible
C:\WINDOWS\system32\TFTP1544 Effacé
C:\WINDOWS\xpupdate2a.exe Infectés avec Trojan.Lowzones.K
C:\WINDOWS\xpupdate2a.exe Désinfection impossible
C:\WINDOWS\xpupdate2a.exe Effacé
 
 
Sinon mon firewall a detecter que c:\windows\system32\msnq3instller.exe a essayé d'accerder a internet et jel'ai donc bloqué (impossible de mettre la main dessus a l'endroit indiquer:/)
 
j'ai essayé d'effectuer un scan avec panda mais la page avec la selection des endroits a scanner plante avec mon IE6 :/
 
sinon voivi mon nouvo log HiJackThis mais tous semble OK :
 
Logfile of HijackThis v1.99.1
Scan saved at 19:36:51, on 08/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\msnq3insller.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\HiJackThis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\bdnagent.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Startup: Resume Windows Update Installation.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 8167188733
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
 
 
 
Merci

Reply

Marsh Posté le 08-06-2005 à 19:42:58    

arg nan revoila C:\WINDOWS\System32\msnq3insller.exe  !!!!
je sais pa comment le virer celui a !  :fou:

Reply

Marsh Posté le 08-06-2005 à 20:06:57    

Re, termine le processus suivant en ouvrant le gestionnaire de tâches:
 
msnq3insller.exe
 
Paramètre Hijackthis ainsi:  
 
Open the Misc Tools section> Delete a file on reboot> Entre le chemin complet:  
 
C:\WINDOWS\System32\msnq3insller.exe  
 
Au message qui s'affiche réponds oui.
 
Démarre en mode sans échec. Assure toi d'avoir accès à tous les fichiers et supprime:
 
C:\WINDOWS\System32\msnq3insller.exe< s'il est encore présent
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5< tout le contenu
 
Recache les fichiers sytème
 
Redémarre normalement. Pour Panda vérifie les paramètres des contrôles ActiveX:
 

Citation :

-Pour activer les contrôles ActiveX,il faut procéder comme suit:
 
Démarrer-->Paramètres-->Panneau de configuration-->Options Internet ou Sur la fenêtre du navigateur Internet,Outils-->Options Internet  
 
Dans la fenêtre qui s'ouvre, sélectionnez l'onglet Sécurité. Après cela,  
cliquez sur le bouton Personnaliser le niveau...
 
Une nouvelle fenêtre s'ouvre, dans la partie qui se nomme Paramètres de sécurité,  
effectuez alors les réglages suivants :  
 
A la ligne : Contrôles ActiveX reconnus sûrs pour l'écriture de scripts,  
cochez la case Activer.
 
Puis, à la ligne : Contrôles d'initialisation et de scripts ActiveX non  
marqués comme sécurisés, cochez la case Désactiver.
 
Maintenant, à la ligne : Exécuter les contrôles ActiveX et les plugins,  
cochez la case Activer.
 
Après cela, à la ligne : Télécharger les contrôles ActiveX non signés,  
cochez la case Désactiver.
 
Et pour finir, à la ligne : Télécharger les contrôles ActiveX signés,  
cochez la case Demander.
 
cliquez sur le bouton OK, afin que les modifications soient  
prises en compte.
 
 
-Si après avoir effectuer ces manipulations, tu as toujours le même message d'erreur, tu dois:
--Supprimer tous les fichiers de Temporary Internet Files via
Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers.
Cocher la case:supprimer tout le contenu hors connexion.
 
--Voir, si tu un dossier du nom de c:\windows\avxoscan. , supprime tout son contenu.
 
--Si cela ne marche toujours pas en allant sur le site du scan en ligne, à l'apparition du message, clique sur le bouton"Précédente".


 
 
 
 
 
 
 
 
 
 

Reply

Marsh Posté le 08-06-2005 à 20:06:57   

Reply

Marsh Posté le 08-06-2005 à 20:59:17    

je vien d'effectuer la manipulation avec HiJackThis mais la mon firewall vien encore de voire que msnq3insller.exe essayait d'aller sur internet :x

Reply

Marsh Posté le 08-06-2005 à 21:03:25    

Re, télécharge installe et mets à jour Ewido:
http://www.ewido.net/en/download/
 
A le fin du scan colle le rapport ici.

Reply

Marsh Posté le 08-06-2005 à 22:02:11    

voila le rapport :
 
---------------------------------------------------------
 ewido security suite - Rapport de scan
---------------------------------------------------------
 
 + Créé le:  22:00:21, 08/06/2005
 + Somme de contrôle: C5DF1477
 
 + Date des signatures: 08/06/2005
 + Version du moteur de recherche: v3.0
 
 + Temps:     8 min
 + Fichiers scannés:    18130
 + Vitesse:    36.52 Fichiers/Secondes
 + Fichers infectés:    1
 + Fichiers supprimés:    1
 + Fichiers mis en quarantaine:  0
 + Fichiers ne pouvant pas être ouverts: 0
 + Fichiers ne pouvant pas être nettoyés: 0
 
 + Liés:  Oui
 + Cryptés:  Oui
 + Archives:  Oui
 
 + Elements scannés:
 C:\
 
 + Résultats du scan:
 C:\Documents and Settings\tom\Cookies\tom@atdmt[2].txt -> Spyware.Tracking-Cookie -> Nettoyer sans sauvegarder
 
 
::Fin du rapport
 
 
par contre des que je reboot la machine il detecte msnq3insller    , j'effectue donc le "nettoyage" du fichier

Reply

Marsh Posté le 08-06-2005 à 22:16:48    

je viens encore de reboot et ewido a encore detecter msnq3insller.exe, ce coup j'ai utilisé l'action : aucun" et j'ai relance un scan mails il n'a trouvé aucuns fichiers infectés :/ (alors qu'il l'a vu au demarrage et que mon firewall me signal encor qu'il essaye d'aller sur internet)

Reply

Marsh Posté le 08-06-2005 à 22:17:05    

Télécharge cet utilitaire PocketKillBox:
http://www.bleepingcomputer.com/fi [...] illBox.zip
Une fois téléchargé, tu le dézippes sur ton bureau.
 
Démarre en mode sans échec et ouvre Killbox. Dans la petite fenêtre copie colle le chemin complet du fichier suivant:
 
C:\WINDOWS\System32\msnq3insller.exe
 
Coche delete on reboot puis clique sur la croix rouge sur fond blanc. Aux messages qui vont s'afficher réponds oui. Redémarre normalement.
 
Fais le scan sur Panda et dis ce qu'il en est.  
 
 

Reply

Marsh Posté le 08-06-2005 à 22:43:30    

Je viens d'effectuer ta procedure avec killbox, et j'ai reboot normallement.
malheureusement je ne peux tjs pa aller sur le site de panda j'ai tjs la meme erreure :/
mais apparement c'est mieux, ewido ne detecte plus msnq3insller  et mon firewall non plus.
sinon sur ce site, la personne a eu le meme probleme que moi apprement et j'ai essayé leur solution aussi (sans resultat)
Merci pour toan tres precieuse !!!
et j'espere que se trojan ne fera plus des siennes :x

Reply

Marsh Posté le 08-06-2005 à 22:51:10    

J'espère aussi. Bonne fin de soirée et bon surf :hello:

Reply

Marsh Posté le 08-06-2005 à 23:03:07    

re, encore :/
je viens de m'apercevoire que 2 fichiers se creaient sur la racine C:\
C:\sp1updte65
C:\sys32patch43
 
et d'apres ewido voila le rapport :
Trojan.LowZones.a   C:\sp1updte65/re11.REG
Trojan.LowZones.a   C:\sys32patch43/re11.REG
 
j'ai donc "nettoyer" en supprimant l'archive
 

Reply

Marsh Posté le 08-06-2005 à 23:16:24    

mauvaise nouvelle nouvelle msnq3insller.exe est toujars la, ewido viens de me le detecter :x
bon laisse tomber vu que je vien format mon disk je croi ke jvai recommencer
je te tien au couran si j'au encore le probleme.
Merci kan meme ;p

Reply

Marsh Posté le 09-06-2005 à 08:28:42    

Bonjour stonangel !
c'est encore malheureursement :/
bon j'ai format mon disque hier soir, intall windows XP pro SP1 avec les different correctifs que j'avais, installé bitdefender et ewido et enfin me suis connecté a internet pour telecharger les derniers correctifs (windows update : 1 seul correctif disponible)
 
malheureusement msnq3insller vien de refaire son apparaition (ewido me l'a detecter lorsque j'ai boot, je l'ai donc nettoyé)
voici mon denier log Hijackthis :
 
Logfile of HijackThis v1.99.1
Scan saved at 08:21:09, on 09/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
D:\HiJackThis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\msnq3insller.exe
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 8268332282
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
 
 
je n'ai pa eu le temps de lance de scan ce matin je le ferai dans l'heure de midi (bitdefender, ewido et panda)
je te balancerai les log
PS : comment faire pour eviter que ces trojan m'infectent, j'ai installé tous les correctifs windows, j'ai ewido et bidefender qui tournent en permanecne + le firewall bitdefender et j'utilise firefox pour le surf  
 
Merci atte a l'heure :/

Reply

Marsh Posté le 09-06-2005 à 09:54:59    

re, encore moi ;p
je viens de trouver sur un forum une methode pour suppr msn3insller :
http://www.commentcamarche.net/for [...] nq3insller
est ce que tu pourrais y jete un petit coup d'oeil et me dire si ca vau le coup de l'effectuer  
Merci

Reply

Marsh Posté le 09-06-2005 à 12:16:25    

Bonjour, télécharge cet utilitaire:
http://www.silentrunners.org/Silent%20Runners.zip
 
Patiente jusqu'à ce qu'il délivre un log.
 
Fais un scan sur Ravativirus, pour savoir s'il est dans la restauration:
http://www.ravantivirus.com/scan/
 
To continue without suscribing> Attendre que Ready soit affiché dans status> Coche Autoclean> Scan my PC
 
Colle les deux rapports ici.

Reply

Marsh Posté le 09-06-2005 à 13:21:10    

je viens de lance un scan avec panda et RAV
sinon j'ai un prob avec silentrunner, lorsque je l'execute il m'afficheche la fenetre suivante :
windows script host
script D:\...
ligne : 256
caract : 2
erreur : 0x80041003
...
 
 
et sinon voila le log kil genere :
"Silent Runners.vbs", revision 37, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
 
 
sino bitdefnerde a decouvert de nouveaux troajan :
c:\windows\system32\tftp****
(**** sont des numeros)
je te met les rapport de scan des ke c'est fini

Reply

Marsh Posté le 09-06-2005 à 13:22:48    

sinon je vien te remettre un nouvo log HiJackThis :
 
Logfile of HijackThis v1.99.1
Scan saved at 13:22:09, on 09/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
D:\Utils\HiJackThis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 8268332282
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
 
 
 
voila ;p

Reply

Marsh Posté le 09-06-2005 à 13:32:56    

rapport RAV :
 
Scan started at 09/06/2005 13:10:44
 
Scanning memory...
Scanning boot sectors...
Scanning files...
 
Scanned
============================
 Objects: 17773
 Directories: 1009
 Archives: 480
 Size(Kb): -1352678
 Infected files: 0
 
Found
============================
 Viruses found: 0
 Suspicious files: 0
 Disinfected files: 0
 Mail files: 23
 
 
sino je vien de supprimer dans le registre les entrés contentan tftp

Reply

Marsh Posté le 09-06-2005 à 13:38:58    

Panda vient de terminer le scan et n'a trouvé aucun fichiers infectés : D
je reboot la machine voir s'ils reviennent

Reply

Marsh Posté le 09-06-2005 à 13:52:05    

Mauvaise nouvells :x
msnq3insller.exe est toujours la !
ewidoo vien de me le detecter au boot, je n'ai pa effectuer le "nettoyage"
ensuite bitdefender a detecter que msnq3insller.exe essayai de modifier le registre afin de s'executer au demarrage, je l'ai donc interdit puis il a detecte qu'il essait d'aller sur inter et je l'ai la aussi bloqué
je vai relance un scan panda et RAV ce soir en rentrant du boulot (vers 18h) et je te poste les log
 
sinon nouvo log HiJackThis :
 
Logfile of HijackThis v1.99.1
Scan saved at 13:50:44, on 09/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\Program Files\Softwin\BitDefender8\bdlite.exe
C:\WINDOWS\System32\msnq3insller.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
D:\Utils\HiJackThis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 8268332282
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
 
 
 
msnq3instller est toujours la :x
a ce soir (pour de nvlles aventures :o )

Reply

Marsh Posté le 09-06-2005 à 15:37:21    

autre petite question, est qu'il faut que je stop la restauration systeme avant d'effectuer les manip pour kill msnq3instller.exe   (windows+pause --> restauration du systeme = desactive) ?

Reply

Marsh Posté le 09-06-2005 à 15:48:11    

Non, ne la désactive pas pour le moment. Essaie avec le lien que tu as trouvé? Sinon tu tenteras avec Procexp de Systernals

Reply

Marsh Posté le 09-06-2005 à 18:30:32    

bon je vien d'effectuer les scan online  
 
rapport RAV :
 
Scan started at 09/06/2005 17:58:03
 
Scanning memory...
process://C:\WINDOWS\System32\msnq3insller.exe - Exploit:Win32/Lsass.gen -> Suspicious
Scanning boot sectors...
Scanning files...
C:\sp1updte65.exe->(UPXW)->(RARSfx)->re11.REG - Trojan:WinREG/IEZones.C* -> Infected
C:\sys32patch43.exe->(UPXW)->(RARSfx) - TrojanDropper:Win32/IEZones.C -> Suspicious
C:\sys32patch43.exe->(UPXW)->(RARSfx)->re11.REG - Trojan:WinREG/IEZones.C* -> Infected
C:\WINDOWS\system32\TFTP2104 - Backdoor:Win32/Poebot.B -> Infected
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\05AZG12V\deds2[1].exe->(UPXW)->(RARSfx) - TrojanDropper:Win32/IEZones.C -> Suspicious
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\05AZG12V\deds2[1].exe->(UPXW)->(RARSfx)->re11.REG - Trojan:WinREG/IEZones.C* -> Infected
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\05AZG12V\gamma[1].exe->(UPXW)->(RARSfx)->re11.REG - Trojan:WinREG/IEZones.C* -> Infected
 
Scanned
============================
 Objects: 17788
 Directories: 1010
 Archives: 484
 Size(Kb): -1350598
 Infected files: 5
 
Found
============================
 Viruses found: 2
 Suspicious files: 3
 Disinfected files: 0
 Mail files: 25
 
 
 
 
Rapport Panda :
 
il me trouve les memes que RAV (je n'ai pas pu save le log IE a planter :x )
 
 
la je vais passer Ccleaner.
Désactiver la restauration system.
Supprimer ce fichier : C:\WINDOWS\System32\msnq3insller.exe avec Hijackthis
reboot
je te tient au courant de l'avancement

Reply

Marsh Posté le 09-06-2005 à 18:39:02    

Ne désactive pas la restauration! Télécharge les correctifs de sécurité via Windows Update
 
Démarre en mode sans échec et passe ces deux utilitaires un après l'autre:
 
http://securityresponse.symantec.c [...] Gaobot.exe
 
http://securityresponse.symantec.c [...] obotUJ.exe
 
Supprime si toujours présents (affiche les fichiers cachés):
 
C:\WINDOWS\System32\msnq3insller.exe  
C:\sp1updte65.exe
C:\sys32patch43.exe
C:\sys32patch43.exe
C:\WINDOWS\system32\TFTP2104
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5 < le contenu du dossier
 
Recache les fichiers système. Redémarre et dis ce qu'il en est.
 


Message édité par stonangel le 09-06-2005 à 18:40:16
Reply

Marsh Posté le 09-06-2005 à 18:52:23    

trop tard :/
j'ai desactiver la restauration systeme
supprimer msnq3insller.exe
reboot
 
deja bon signe pas d'alerte concernant msnq3insller.exe
 
nouveau log HijackThis
 
Logfile of HijackThis v1.99.1
Scan saved at 18:46:41, on 09/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\tftp.exe
C:\Program Files\ewido\security suite\securitysuite.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Utils\HiJackThis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 8268332282
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
 
 
 
y a tfpt qui fait des siennes maintenant

Reply

Marsh Posté le 09-06-2005 à 19:05:47    

Les deux processus sont liés... As-tu essayé les deux Fix que je t'ai proposés?


Message édité par stonangel le 09-06-2005 à 19:06:08
Reply

Marsh Posté le 09-06-2005 à 19:22:09    

je vien de suivre ta manip :
j'ai lance les 2 fix (sans succes)
Symantec W32.Gaobot FixTool 1.30.0
 
C:\System Volume Information: (not scanned)
D:\System Volume Information: (not scanned)
E:\System Volume Information: (not scanned)
W32.Gaobot has not been found on your computer.
 
 
 
C:\System Volume Information: (not scanned)
D:\System Volume Information: (not scanned)
E:\System Volume Information: (not scanned)
W32.Gaobot.UJ has not been found on your computer.
 
 
sino j'ai suppr les fichiers que j'ai trouvé :
c:\windows\system32\tftp.exe
c:\windows\system32\tftp****

Reply

Marsh Posté le 09-06-2005 à 19:24:45    

nouveau log Hijackthis :
 
Logfile of HijackThis v1.99.1
Scan saved at 19:23:26, on 09/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\Program Files\Softwin\BitDefender8\bdlite.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
D:\Utils\HiJackThis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
O4 - HKLM\..\Run: [Microsoft Update] win-mang.exe
O4 - HKLM\..\RunServices: [Microsoft Update] win-mang.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 8268332282
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
 
 
win-lang ?

Reply

Marsh Posté le 09-06-2005 à 19:43:46    

C'est un mutant. As-tu appliqué les correctifs de sécurité de Microsoft?

Reply

Marsh Posté le 09-06-2005 à 19:50:27    

nan je n'ai pas applaiqué les correctif windows (ou les trouver ? windows update ? )
sinon je vien de lance le scan avec bitdefender, RAV et panda et scan negatifs pour les 3 :D

Reply

Marsh Posté le 09-06-2005 à 19:51:09    

PS: c'est quoi un mutant ? ;p

Reply

Marsh Posté le 09-06-2005 à 20:13:46    

Reply

Marsh Posté le 09-06-2005 à 20:28:41    

Dernière idée... Vide la quarantaine de ton antivirus,
Télécharge et lance Escan  
 
Escan 4.4.7  
http://www.spywareinfo.dk/download/mwav.exe  
 
voir impérativement son tutorial pour le lancement du scan http://assiste.free.fr/p/internet_utilitaires/mwav.php
 
ou la nouvelle qui ne propose plus le nettoyage automatique
Escan dernière version
http://www.mwti.net/download/tools/mwav.exe
 
.. (pour un scan complet)
.. coche la case "Drive"
.. sélectionne le bouton-radio "Scan All Files"
. clique sur le bouton "Scan Clean" (sous Action)
Le scan dure un certain temps... efficace, eScan distingue plusieurs catégories dans les éléments douteux :
.. "No action taken" pour des éléments qu'il reconnait finalement comme n'étant pas des virus
.. "File renamed" pour des éléments douteux
.. "File deleted" pour ceux qui ne méritent que ça !
La version gratuite ne supprimera pas les programmes potentiellement malicieux trouvés.  
Puis colle ici le rapport en évitant les lignes redondantes (identiques).

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed