2 virus et un spyware heeeeeelp!

2 virus et un spyware heeeeeelp! - Sécurité - Windows & Software

Marsh Posté le 10-08-2005 à 19:55:12    

Bonjour j'ai 2 virus  et "autre chose", peut etre un spyware
 
J'ai kaspersky, zone alarm pro, microsoft antispyware, spybot, adaware pro se et xoft spy mais aucun d'eux na reussi a resoudre le probleme (tous mis a jour evidemment)
 
Kaspersky a dectecte les 2 virus mais n'a pas reussi a les enleves, voici les noms :  
- Backdoor.Win32.Rbot.xl    (apparemment tres recent, j'ai trouve un truc dessus mais je ne sais pas comment l'enleve, voici le lien : http://www.sophos.com/virusinfo/an [...] tajx.html)
 
- IM-Worm.Win32.Kelvir.dt   ---> la je n'ai absolument rien trouve dessus!!
 
et le spyware ou je sais pas quoi : c'est une toolbar qui s'est installee toute seule dans internet explorer, je pense que c'est yupsearch (j'ai vu un topic dessus mais je ne voulais pas melange avec mes virus), tres ennuyant : toutes les 30 sec la fenetre dans laquelle je suis se "desactive"...
 
 
Pourriez vous m'aider svp
 
merci (bcp)  d'avance
 
 
comme vu ds les autres topic, j'ai utilise votre programme hijack et je poste donc (en fait je ne comprends rien aux resultats, pourriez vous aussi un peu m'explique comme ca j'apprends et je peux me debrouille tout seul ou aide d'autres par la suite, merci merci)
 
 
Logfile of HijackThis v1.99.1
Scan saved at 19:50:07, on 10/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\USB ADSL\CnxDslTb.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\etb\pokapoka62.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\LimeWire\LimeWire.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
c:\program files\softwin\bitdefender8\bdmcon.exe
C:\Documents and Settings\Jack\Mes documents\Downloads\Programs\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe
O4 - HKLM\..\Run: [Microsoft Update 64 BIT] winman32.exe
O4 - HKLM\..\RunServices: [Microsoft Update 64 BIT] winman32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] windir32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesfr.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by106fd.bay106.hotmail.msn. [...] Atchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA49FFEB-AAE5-436D-ADD1-F066FB3DE64D}: NameServer = 62.58.94.130 62.58.62.132
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
 
 
 
 
 
 
 
 

Reply

Marsh Posté le 10-08-2005 à 19:55:12   

Reply

Marsh Posté le 10-08-2005 à 21:37:58    

Bonsoir, tu as deux antivirus. Désactives en un. Je regarde ton rapport, réponse dans quelques instants.

Reply

Marsh Posté le 10-08-2005 à 21:47:23    

Re, télécharge CCleaner:
http://www.ccleaner.com/ccdownload.asp
 
LQfix  
http://users.pandora.be/bluepatchy/LQfix.zip
Dézippe sur le bureau mais ne le lance pas encore
 
Désactive M$ AntiSpyware le temps de faire les corrections avec Hijackthis
Clic droit sur l'icône dans la barre des tâches> Security Agents Status> Disable Real Time Protection
 
Démarre en mode sans échec (F8 ou F5)
 
Assure toi d'avoir accès à tous les fichiers.
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :  
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
 
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
 
O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe
O4 - HKLM\..\Run: [Microsoft Update 64 BIT] winman32.exe
O4 - HKLM\..\RunServices: [Microsoft Update 64 BIT] winman32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] windir32.exe
 
O4 - HKCU\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe
 
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by106fd.bay106.hotmail.msn. [...] Atchmt.ocx  
 
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
 
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
 
C:\WINDOWS\etb
windir32.exe<utilise la fonction rechercher, localisation probabble System32
winman32.exe< idem
 
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
Lance LQFix
 
Exécute CCleaner sur chaque session utilisateur
 
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.
 
 

Reply

Marsh Posté le 11-08-2005 à 00:19:28    

stonangel a écrit :

Re, télécharge CCleaner:
http://www.ccleaner.com/ccdownload.asp
 
LQfix  
http://users.pandora.be/bluepatchy/LQfix.zip
Dézippe sur le bureau mais ne le lance pas encore
 
Désactive M$ AntiSpyware le temps de faire les corrections avec Hijackthis
Clic droit sur l'icône dans la barre des tâches> Security Agents Status> Disable Real Time Protection
 
Démarre en mode sans échec (F8 ou F5)
 
Assure toi d'avoir accès à tous les fichiers.
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :  
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
 
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
 
O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe
O4 - HKLM\..\Run: [Microsoft Update 64 BIT] winman32.exe
O4 - HKLM\..\RunServices: [Microsoft Update 64 BIT] winman32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] windir32.exe
 
O4 - HKCU\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe
 
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by106fd.bay106.hotmail.msn. [...] Atchmt.ocx  
 
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
 
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
 
C:\WINDOWS\etb
windir32.exe<utilise la fonction rechercher, localisation probabble System32
winman32.exe< idem
 
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
Lance LQFix
 
Exécute CCleaner sur chaque session utilisateur
 
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.


 
 
Merciiiii! BEAUCOUP
 
en tout cas ca a l'air d'avoir marche
 
OUAW ca c'etait du nettoyage en profondeur!!
 
j'ai tout suivui a la lettre mais j'espere que je n'ai pas fais de betises pcq :  
- je n'ai pas trouve la case "make backups before fixing items" pourtant j'ai bien cherche
- j'ai lance lqfix et ccleaner en mode sans echec
- quand jai lance lqfix une fenetre s'est ouverte (ds le genre DOS) et s'est tt de suite refermee
- ccleaner : j'ai fait analyse puis nettoye ds ma session et ds la session administrateur
(il ma efface 250 mo, ca devait etre le cache internet ou des fichiers tempo, enfin jespere!)
 
quand j'ai redemarrer, Microsoft AntiSpyware ma sortie une serie de ses petites infos, en fait elles etaient toutes bloquees depuis un bout de temps.
je pense que c'est cette fichue toolbar qui bloquait laprotection en temps reel de MAS (car avant je narrivait pas a l active elle se desactivait tt le temps toute seule!) vu que j'ai installe MAS APRES cette tool bar! donc elle le bloque elle meme pour ne pas se faire virer, baleze!!  Mnt la protection en temps reel refonctionne!
 
enfin je pense que tout ca est arrive quand j ai execute un fichier qu'on m envoyait par msn, mais mon ami ma certifie le lendemain qu'il ne m'avais rien envoye!! donc les virus s'introduise ds vos converse mnt, c abuse je trouve
 
bon voila le resultat
 
Logfile of HijackThis v1.99.1
Scan saved at 23:53:06, on 10/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\USB ADSL\CnxDslTb.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Documents and Settings\Jack\Mes documents\Downloads\Programs\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesfr.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA49FFEB-AAE5-436D-ADD1-F066FB3DE64D}: NameServer = 62.58.94.130 62.58.62.132
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
 
 
encore merci
 
 
PS : comment savez vous quels fichiers ils faut ds hijack????
j comprends pas!
en tout cas respect pcq vous etes trop fort!!


Message édité par alexkopaka le 11-08-2005 à 00:20:54
Reply

Marsh Posté le 11-08-2005 à 00:37:03    

Citation :

PS : comment savez vous quels fichiers ils faut ds hijack????


 
Ca se voit  :sol: ... Ton nouveau rapport est propre. Comment fonctionne ton ordinateur? As-tu toujours les mêmes problèmes?
 
Pour Make backups before fixing items:
Lance Hijackthis> Config (en bas à droite)> Main

Reply

Marsh Posté le 11-08-2005 à 00:59:14    

stonangel a écrit :

Citation :

PS : comment savez vous quels fichiers ils faut ds hijack????


 
Ca se voit  :sol: ... Ton nouveau rapport est propre. Comment fonctionne ton ordinateur? As-tu toujours les mêmes problèmes?
 
Pour Make backups before fixing items:
Lance Hijackthis> Config (en bas à droite)> Main


 
 
maintenant tout fonctionne nickel, cette toolbar de m... s'est barre et je n'ai plus le truc toute les 30 sec super casse C...  lol
 
 
mais comment savais tu qu'il fallait cochez ca
 
O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] windir32.exe  
O4 - HKLM\..\Run: [Microsoft Update 64 BIT] winman32.exe  
O4 - HKLM\..\RunServices: [Microsoft Update 64 BIT] winman32.exe  
O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] windir32.exe  
 
 
et pas ca
 
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
 
ce n'est qu'un exemple parmis tant d'autres...
 
Mnt mon ordi est nickel a jour
mise a jour microsoft ok
mise a jour kaspersky ok
scan kaspersky ok
mise a jour ad aware ok
scan ad aware ok
protection en temps reel ad aware ok
MicrAntiSPy misa a jour ok   scan   ok    protection temps reeel ok
spybot mis a jour  scan ok
 
 
et connait tu xoft spy??   ils disaient ds la pub qu'il allait me vire ce yupsearch, alors il me fait un scan gratuit puis me demande 35$ pour la licence!!!!
je prend une key sur limewire et il me trtouve 3 spyware et les vire et yupsearch est tjs la!!!! l'arnaque totale!
 
as-tu d'autres programmes que je devrais installe ou c bon?  mais la les ram en prenne un coup avec tout ca deja mdr! je suis a 250 MO en ram, c'est chaud !
 
PS j'ai trouve la case, elle etai bien cochee
 
merci encore

Reply

Marsh Posté le 11-08-2005 à 01:08:22    

:jap:  De rien... Pour répondre à ta question ton ordinateur était infecté par Elite. Donc à la lecture de ton rapport j'y vais direct: les lignes infectieuses se voient, c'est une question de pratique: je ne fais que ça. Bon surf  :hello:


Message édité par stonangel le 11-08-2005 à 01:09:01
Reply

Marsh Posté le 11-08-2005 à 01:37:39    

stonangel a écrit :

:jap:  De rien... Pour répondre à ta question ton ordinateur était infecté par Elite. Donc à la lecture de ton rapport j'y vais direct: les lignes infectieuses se voient, c'est une question de pratique: je ne fais que ça. Bon surf  :hello:


 
voila ya un truc qui m embete encore un peu est ce que c'est normal que g encore un fichier windir32.exe??
 
 
pcq je viens d'installe a-squared et quand je fait hijackfree
 
puis dossier : autostarts-> registre->actuel utilisateur et ds la fenetre  a droite g 2 fichiers dont 1
 
Microsoft windows DLL serice configuration et ds chemein c'est marque :windir32.exe

Reply

Marsh Posté le 11-08-2005 à 01:47:48    

Re, supprime le fichier windir32.exe
 
Fais un scan ici:
http://www.pandasoftware.com/activescan/
 
Poste le rapport dans le forum

Reply

Marsh Posté le 11-08-2005 à 01:57:44    

stonangel a écrit :

Re, supprime le fichier windir32.exe
 
Fais un scan ici:
http://www.pandasoftware.com/activescan/
 
Poste le rapport dans le forum


 
ok je vais le supprime, j attends juste que le scan soit fini
puis je fais l'analyse en ligne

Reply

Marsh Posté le 11-08-2005 à 01:57:44   

Reply

Marsh Posté le 11-08-2005 à 02:05:07    

ah oui le truc c'est qu'il n'y a pas de fichier windir32, en fait le nom c'est bien Microsoft windows DLL serice configuration et c'est ds la colone CHEMIn que c'est marque windir32.exe  ,  je le supprime tt de meme?

Reply

Marsh Posté le 11-08-2005 à 02:06:31    

Donne le chemin exact s'il te plaît

Reply

Marsh Posté le 11-08-2005 à 02:16:20    

en fait il ne me dit que ca pour le chemin
le fichier au dessus c'est bien marque C:\...
mais ici il n'y a que windir32.exe
puis ds la colone clef root c'est marque : HKEY_CURRENT_USER
et ds la colone section c'ets marque
software\microsoft\windows\currentversion\run
 
c'est tout ce que je peux te donner
 
 
le scan avec a-squared ma donne ca
 
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP41\A0011433.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP41\A0011441.DLL Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP41\A0011447.exe Adware.WinAD.bf  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP41\A0011451.exe Adware.WinAD.bf  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP41\A0012436.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP41\A0012437.DLL Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP41\A0012480.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP41\A0012488.DLL Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP41\A0012570.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP41\A0012578.DLL Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP41\A0012588.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP41\A0012594.DLL Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP42\A0012653.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP42\A0012659.DLL Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP43\A0012748.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP43\A0012756.DLL Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP44\A0012821.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP44\A0012827.DLL Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP45\A0012878.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP45\A0012883.DLL Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP47\A0013005.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP47\A0013013.DLL Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP49\A0013176.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP49\A0013184.DLL Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP49\A0013196.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP49\A0013202.DLL Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP49\A0013214.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP49\A0013223.DLL Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP49\A0013233.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP49\A0013242.DLL Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP49\A0013418.exe Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP49\A0013419.dll Adware.ToolBar.EliteBar.am  
C:\System Volume Information\_restore{C4B7AD79-6A73-46E1-A68A-83199C24949F}\RP49\A0013420.dll Adware.ToolBar.EliteBar.am  
 
 
et il a tout efface
 
 
en lisant ca on croirait que c'est ad aware qui a amen elite!!??
 
mnt je scan avec le truc en ligne alors
 
dis moi quoi pour le fichier Microsoft windows DLL serice configuration  

Reply

Marsh Posté le 11-08-2005 à 02:23:06    

avec mozilla il quand je clique sur scan now il me dit navigateur non supporte
 
et IE quand je clique sur scan now, la fenetre souvre mais se referme directement et impossible de scanne...

Reply

Marsh Posté le 11-08-2005 à 02:31:47    

scuz faut que jaille dormir, tu peux repondre ici, je ferai tout demain
 
merci merci   good night

Reply

Marsh Posté le 11-08-2005 à 12:21:02    

Bonjour le scan se fait sous IE.
 
Pour activer les contrôles ActiveX, il faut procéder comme suit:
 
Démarrer> Paramètres> Panneau de configuration> Options Internet ou Sur la fenêtre du navigateur Internet, Outils> Options Internet  
 
Dans la fenêtre qui s'ouvre, sélectionnez l'onglet Sécurité. Après cela, cliquez sur le bouton Personnaliser le niveau...
 
Une nouvelle fenêtre s'ouvre, dans la partie qui se nomme Paramètres de sécurité, effectuez alors les réglages suivants:  
 
A la ligne : Contrôles ActiveX reconnus sûrs pour l'écriture de scripts, cochez la case Activer.
 
Puis, à la ligne : Contrôles d'initialisation et de scripts ActiveX non marqués comme sécurisés, cochez la case Désactiver.
 
Maintenant, à la ligne : Exécuter les contrôles ActiveX et les plugins, cochez la case Activer.
 
Après cela, à la ligne : Télécharger les contrôles ActiveX non signés, cochez la case Désactiver.
 
Et pour finir, à la ligne : Télécharger les contrôles ActiveX signés, cochez la case Demander.
 
Cliquez sur le bouton OK, afin que les modifications soient prises en compte.
 
 
Si après avoir effectué ces manipulations, tu as toujours le même message d'erreur, tu dois:
supprimer tous les fichiers de Temporary Internet Files via
Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers.
Cocher la case:supprimer tout le contenu hors connexion.
 
Voir, si tu un dossier du nom de C:\windows\avxoscan, supprime tout son contenu.
 
Si cela ne marche toujours pas en allant sur le site du scan en ligne, à l'apparition du message, clique sur le bouton"Précédente".
 
Auteur : queruak
 
 

Reply

Marsh Posté le 11-08-2005 à 16:45:14    

Je te conseille de désactiver la restauration sytème. Ton PC est-il à jour ? (windows update, sp ?)

Reply

Marsh Posté le 11-08-2005 à 16:58:43    

frenchjesus a écrit :

Je te conseille de désactiver la restauration sytème. Ton PC est-il à jour ? (windows update, sp ?)


 
Logfile of HijackThis v1.99.1
Scan saved at 23:53:06, on 10/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Reply

Marsh Posté le 11-08-2005 à 17:41:38    

Merci Stonangel, panne de cerveau momentanée ;)
Sinon windir32.exe semble être un mélange de ver et de cheval de troie, à éradiquer sans pitié.

Reply

Marsh Posté le 11-08-2005 à 18:25:11    

alors en fait ca marche tjs pas mais ca a failli marche, je m'explique
 
tout les reglages concernant les activesX etaient bon depuis le debut donc je n'ai rien touche, alors j'ai supprime les fichiers temp et la a marche la fenetre reste ouverte et il ma demande de telcharge le controle activeX de panda mais le probleme c'est Internet Download Manager l'a intercepte et la telechrge, ce qui fait que je me retrouve avec le fichier pav.sig et windows ne sait pas l'ouvrir!!!
alors j'ai desinstalle IDManager et reessaye mais le probleme c'est que mnt ca me refait le meme scenario la fenetre s'ouvre puis se referme direct...
j'ai supprime de nouveau fichiers temp et je n'ai pas de dossier du nom avxoscan...
 
avez vous une sol??
 

Reply

Marsh Posté le 11-08-2005 à 18:27:50    

Reply

Marsh Posté le 11-08-2005 à 18:40:37    

je suis en train de faire le scan, je n'arrive pas a supprime le fichier qui a pour chemin windir32.exe
je peux juste decoche la case devant pour qu'il ne se lance plus au demarage..
est ce que ca peut servir...  et sinon comment le vire?

Reply

Marsh Posté le 11-08-2005 à 18:43:30    

Supprime le en mode sans échec et poste le résultat du scan

Reply

Marsh Posté le 11-08-2005 à 19:14:51    

le scan a fini, il dit qu'il a aucun virus, mais il n' y a pas de document resultat proprement dit, tout s'est affiche ds la fenetre... il est juste mis   "no problems were found"

Reply

Marsh Posté le 11-08-2005 à 19:27:45    

ok je vais le supprime en mode sans echec, mais je ne sais pas trop quoi supprime?  je vais faire une recherche avec le mot "windir32.exe" en mode sans echec(en ayant coche les options de fichiers system et tout, avant)
et si il ne le trouve pas, est ce que je dois supprime ce fichier "Microsoft windows DLL services configuration" ???

Reply

Marsh Posté le 11-08-2005 à 19:31:09    

Non seulement le fichier, localisation probable system32

Reply

Marsh Posté le 11-08-2005 à 19:32:21    

ah si voila le rapport mais ca confirme juste ce que je dis  
 
BitDefender Online Scanner - Real Time Virus Report
   
   
 
Generated at: Thu, Aug 11, 2005 - 19:31:03
 
 
--------------------------------------------------------------------------------
 
 
   
   
 
Scan Info
   
   
 
Scanned Files
 117208
 
Infected Files
 0
 
   
   
 
 
   
   
 
Virus Detected
   
   
 
No virus found.
 
 
   
   
 
 
   
   
 
 
 
--------------------------------------------------------------------------------
   
   
 
This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.  
 
 

Reply

Marsh Posté le 11-08-2005 à 19:40:05    

c'est bon j'ai reussi a vire ce fichier depuis a-squared (cetait en fait zone alarm pro qui bloquait l'acces aux cles de registres)
 
 
ouffff!
 
 
dois-encore poste un hijack ou faire un scan??
 
en tout cas merci bcp qu'est ce qu'on ferait sans vous

Reply

Marsh Posté le 11-08-2005 à 19:47:20    

Reply

Marsh Posté le 11-08-2005 à 20:43:11    

ok c'est fait    nikel, j'ai fait scan pour trojan sur C et D
 
voila le rapport
 
"congratulations! no malware was found"
 
c'est bon mnt tout est ok
 
re merci bcp
 
c'est bien tout ces programmes pour se protege(KAV, ZA pro, MicrosoftAS, spybot, ad aware, a-square,...)
mais le probleme c'est que tout fonctionne en meme temps et tout le temps! et les ram en prenne en coup, je suis a 280 MO en moyenne, quand j'avais le SP1 et que je n'etais pas connecte au net j'etais a 180 en moyenne!! et en mode sans echec c'est l plaisir je suis a 60 MO, c'est bien rapide mais on sait rien faire!
 
est ce que ad-watch monitoring (de ad-aware) est vraiment utile pcq son processus est fort variant (de 0 a 5   pourcent de l'uc, et ca rend le pc instable...
 
et est ce que vous connaissez xoftspy ? est ce utile?  
sinon je le vire...

Reply

Marsh Posté le 11-08-2005 à 20:51:14    

Xoftspy, je n'ai jamais utilisé. Si tu as M$, Ad Watch, pare feu, AV ça fait beaucoup de protections en temps réel, non?
Bonne fin de soirée et bon surf  :hello:

Reply

Marsh Posté le 11-08-2005 à 21:22:18    

ok je l'ai vire pcq j en ai trop
oui c'est clair ca fait bcp, les ram subissent!
 
merci toi aussi bonne soiree
 
je enfin pouvoir resurfer normalement(un tour du cote d'astel prendre les nouvelles... lol)
 
ciao encore merci

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed