probleme au demmarage. [Resolu][spyware et windows] - Sécurité - Windows & Software
Marsh Posté le 16-09-2006 à 18:15:28
Salut, tu as bien fait de supprimer le truc imb00007 c'est une sacré saletée !
Fais un scan avec Kaspersky en ligne et poste le
Marsh Posté le 17-09-2006 à 01:05:49
ok merci pour la reponse ca me ressure sur le ibm00007 je croyais que c'etait ca qui faisait planter l'ordinateur.
pour Kaspersky c'est impossible je ne peut demmarer mon pc qu'en mode sans echec. y a t'il une autre solution pour Kaspersky ?
vraiment je suis perdu. je sais plus quoi faire. je ne peux vraiment pas formater mon pc les données qui y sont, sont vraiment importante pour moi.
Helppppppppp meeeeeee
Marsh Posté le 17-09-2006 à 12:48:45
vous ne conaisseriez pas un bon anti virus que je pourrais installer et mettre a jour en mode sans echec?
Marsh Posté le 17-09-2006 à 14:54:34
Bien, fais le scan Kaspersky via le scanner en ligne : http://www.kaspersky.fr/
Bonne chance
Marsh Posté le 17-09-2006 à 19:43:59
mais je ne peux pas faire internet en mode sans echec ou bien j'ai loupé un episode?
Marsh Posté le 18-09-2006 à 00:59:10
Alors je reexplique ma situation :
des que je demmare mon ordinateur, AntiVir me detecte un truc du genre rqopn.dll, puis un ecran bleu s'affiche et ecris :
un probleme a ete detecte et windows a ete arrete afin de prevenir tout dommage sur votre ordinateur.........................
information technique :
STOP: 0x0000008e (0xc0000005,0xff87c7e2,0xf51edca0,0x00000000)
ca le fait a chaque demmarage et je n'ai pas le temps d'ouvrire quoi que soit
je ne peux demmarer qu'en mode sans echec
Marsh Posté le 18-09-2006 à 17:25:34
impossible de renommer, modifier ou supprimer "rqopn.dll"
il me met : impossible de renommer rqopn : Cette ressource est utilisée par une autre personne ou un autre prgramme.
Fermer les programmes susceptible d'utiliser le fichier et essayer a nouveau.
pour information AntiVir me dit lorsque j'analyse "rqopn.dll" s'agit de ""trojan horse TR/Vundo.Gen"".
Marsh Posté le 18-09-2006 à 18:23:46
J'ai fait des recherche sur le net et j'ai resussi a enlever "Vundo.gen" (cf. rqopn.dll et 3 autre fichier) grace a VundoFix. Mais le probleme persiste encore, mais cette fois plus aucune piste. et je ne peux toujours pas demmarer en mode normal. il doit encore rester quelque virus mais comment les detecté y a plus de piste.
??????????????????
Marsh Posté le 18-09-2006 à 19:13:16
Salut, suis cette procédure : http://med365.co.nr/guides/vundo.html
Marsh Posté le 18-09-2006 à 19:30:27
non c bon j'ai telecharger vundoFix il a tout supprimer (apres 3 redemmarage) maintenant que je lance un scan avec vundoFix il ne detecte rien.
mais windows ne demmare toujours pas en mode normal.
Marsh Posté le 18-09-2006 à 20:11:57
j'ai fais un scan avec SmitFraudFix et il me detecte me detecte un rootKit, c mauvais ca, voila le rapport :
SmitFraudFix v2.92
Rapport fait à 18:10:42,76, 17/09/2006
Executé à partir de C:\Documents and Settings\pain\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pain\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\pain\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{855875B5-93F3-429D-FF34-660B206D897C}"="Keyboard Driver"
[HKEY_CLASSES_ROOT\CLSID\{855875B5-93F3-429D-FF34-660B206D897C}\InProcServer32]
@="C:\WINDOWS\system32\7FBBDF.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{855875B5-93F3-429D-FF34-660B206D897C}\InProcServer32]
@="C:\WINDOWS\system32\7FBBDF.dll"
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386
pe386 détecté, utilisez un scanner de Rootkit
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
je vais chercher un scaner de rootKit. si qq a un nom ou un lien je suis preneur.
Marsh Posté le 18-09-2006 à 22:59:38
bon j'ai telechargé GMER et j'ai supprimer le RootKit pe386.
voici un nouveau rapport de smitfraudfix :
SmitFraudFix v2.92
Rapport fait à 21:45:33,99, 17/09/2006
Executé à partir de C:\Documents and Settings\pain\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pain\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\pain\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{855875B5-93F3-429D-FF34-660B206D897C}"="Keyboard Driver"
[HKEY_CLASSES_ROOT\CLSID\{855875B5-93F3-429D-FF34-660B206D897C}\InProcServer32]
@="C:\WINDOWS\system32\7FBBDF.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{855875B5-93F3-429D-FF34-660B206D897C}\InProcServer32]
@="C:\WINDOWS\system32\7FBBDF.dll"
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
voila mais le probleme persiste toujours que dois-je faire maintenant ?
Marsh Posté le 19-09-2006 à 19:50:07
Salut, relance smitfraudfix en appuyant sur 2 et reposte un log
Marsh Posté le 20-09-2006 à 01:20:23
bonne nouvelle je suis arriver a allumer l'ordinateur en mode normal et je ne suis pas pret de l'eteindre. y un truc "spizohst" et puis "cscirpt" que darkSpy me signal
Marsh Posté le 20-09-2006 à 01:55:31
salut,
voici le scan de hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 00:34:05, on 19/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\WINDOWS\system32\wininet.exe
C:\Program Files\Xi\NetTransport 2\NetTransport.exe
C:\Documents and Settings\pain\Mes documents\scanner.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: C:\WINDOWS\system32\7FBBDF.dll - {855875B5-93F3-429D-FF34-660B206D897C} - C:\WINDOWS\system32\7FBBDF.dll (file missing)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: (no name) - {CFA238DA-2652-493F-942C-2606E1C5E7C5} - C:\WINDOWS\system32\rqopn.dll (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [AVManager] "C:\Program Files\Wistron\AVManager\AVManager.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [win_drivr32] C:\WINDOWS\system32\spizohst.exe
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [win_drivr32] C:\WINDOWS\system32\spizohst.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
O4 - HKCU\..\Run: [NoAdware4] "C:\Program Files\NoAdware4\NoAdware4.exe"
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} - http://mks.com.pl/skaner/SkanerOnline.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: wingzn32 - wingzn32.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
O21 - SSODL: jfiJdriTujc - {0CA3C241-A609-68EB-00EF-DB524FE7E3F2} - C:\WINDOWS\system32\xw.dll (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Compaq Computer Corporation - C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
ok voila maintenant que j'ai acces au net demande moi ce que tu veux.
Marsh Posté le 21-09-2006 à 21:00:10
Fais les instructions la dedans : http://med365.co.nr/guides/l2m.html
Poste le rapport de L2M Destroyer
Marsh Posté le 29-09-2006 à 14:39:51
dsl pour le retrad j'etait en exam
Je n'arrive pas a lancer L2M Destroyer???????????????????????????
sinon j'ai recament fait un scan avec Kaspersky voivi le rapport :
Analyser le Poste de travail
----------------------------
Analysés : 290594
Infectés : 1
Non traités : 1
Lancement : 28/09/2006 01:57:05
Durée : 09:51:18
Fin : 28/09/2006 11:48:23
Infectés
--------
Etat Objet
---- -----
découvert : virus Virus.Boot.Anticmos Le secteur du disque: \Device\Harddisk0\DR0
Evènements
----------
Heure Nom Etat Cause
----- --- ---- -----
Statistiques
------------
Objet Analysés Objets dangereux Non traités Supprimés Placés en quarantaine Archives Fichiers compactés Protégés par un mot de passe Corrompus
----- -------- ---------------- ------------ --------- --------------------- -------- ------------------ ---------------------------- ---------
Tous les objets 290594 1 1 0 0 8223 405 107 6
Mémoire système 1860 0 0 0 0 0 0 0 0
Objets de démarrage 1500 0 0 0 0 0 0 0 0
Dossier de sauvegarde du système 2 0 0 0 0 0 0 0 0
Bases de messagerie 2 0 0 0 0 1 0 0 0
Tous les disques durs 287230 1 1 0 0 8222 405 107 6
Tous les disques amovibles 0 0 0 0 0 0 0 0 0
Paramètres
----------
Paramètre Valeur
--------- ------
Niveau de protection Recommandé
Action Confirmer à la fin de l'analyse
Types de fichiers Analyser tous les fichiers
Analyse uniquement des nouveaux fichiers et des fichiers modifiés Non
Analyse des archives l'ensemble des
Analyse des objets OLE joints l'ensemble des
Ne pas analyser l'objet s'il fait plus de Non
Ne pas analyser si l'analyse dure plus de Non
Analyse des fichiers au format de messagerie Non
Analyse des archives protégées par un mot de passe Non
Activer la technologie iChecker Oui
Activer la technologie iSwift Oui
Afficher les objets dangereux découverts sur l'onglet "Infectés" Oui
Je n'arrive pas a supprimer ce virus, mais il n'a pas l'aire tres dangereux.
a+
Marsh Posté le 30-09-2006 à 09:27:56
OK, démarres avec le CD de windows, tapes "R" puis 1 pour choisir l'install de windows sur laquelle tu es actuellement avec ton PC.
Tapes ensuite :
fixboot
puis
fixmbr
Réponds oui à chaque fois.
Dépèche toi de faire la procédure contre look2me stp et refais ensuite un scan avec Kaspersky.
@+
Marsh Posté le 30-09-2006 à 14:03:43
Un grand merci a toi respet.
Me voila enfin debarassé de ce dernier virus.
Mais voila je n'arrive toujours pas a lancer look2me destroyer. Je m'explique, aprend avoir redemmarer en Mode sans echec, je lance L2M D, je coche " Run this program as a task" il m'affiche alors un premier message :
"L2M D has detected that the Task Scheduler service is not running and will start it now", je clic OK, Puis un second message s'affiche :
"L2M D will now close and will reopen in approximately 1 minute. When it L2M D restarts click the scan button to continue."
je clic encore OK. j'attend 10 bonne minute toujours rien!!!!!!!
Que faire, et qu'est ce que ce Look2Me?
Merci.
Marsh Posté le 30-09-2006 à 14:47:29
Bonjour à tous,
"Look2Me" est un spyware particulièrement coriace générant des fichiers DLL aux noms aléatoires (A-D-A-W-A-R-E) au niveau du Winlogon... Il crée toute une série de clefs CLSID dans le registre et est programmé pour se re-créer par tous les moyens connus au moment de sa création...
En outre, il affiche des fenêtres de pubs, ralentit la machine, permet le téléchargement d'autres spyware's (Vundo, WareOut, SurfSideKick, ...) et, naturellement, "espionne" ses victimes !
Inutile de préciser que la création d'un tel programme génère des revenus, énormément de revenus !!!
Bonne après-midi à tous,
Marsh Posté le 30-09-2006 à 19:27:22
OK, ca doit etre du au safe mode, tente en mode noirmal
merci pour les précisions CleanDows
Marsh Posté le 01-10-2006 à 20:40:16
Ok j'ai reussi a le lancé en mode normal mais il ne detecte rien.
Marsh Posté le 03-10-2006 à 20:38:49
OK, poste le log quand même stp
Bon télécharges SmitFraudFix : http://siri.urz.free.fr/ lance le, sélectionne 1 et poste le rapport.
@+
Marsh Posté le 06-10-2006 à 22:18:19
Je suis desolé pour le retard encore une fois, j'etais preoccupé par un probleme sur mon autre ordinateur que je n'ai d'ailleure pas pu encore resoudre.
alors voici le rapport de SmitFraudFix :
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pain
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pain\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{855875B5-93F3-429D-FF34-660B206D897C}"="Keyboard Driver"
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Puis le rapport de L2M D :
Look2Me-Destroyer V1.0.12
Scanning for infected files.....
Scan started at 01/10/2006 11:05:12
Attempting to delete infected files...
Making registry repairs.
Restoring Windows certificates.
Replaced hosts file with default windows hosts file
Restoring SeDebugPrivilege for Administrateurs - Succeeded
Voila merci a+. Mais franchement ne te prend pas la tete, le parfeu windows comment dire... je pourrais m'en passé .
Marsh Posté le 07-10-2006 à 12:55:26
Salut, reposte un log hijackthis, va aussi sur www.ewido.net et fais un scan en lignee, poste le rapport.
Marsh Posté le 07-10-2006 à 20:18:57
OK, j'y jette un oeil ,
Bon ca y est, fais ceci (ca contient aussi des réponses à ce qui a été posté sur l'autre forum, préviens dvdlmbrt de ce que tu as fait lorsque tu lui répondras)
1/*Tu es infecté par Instant Acces, suis cette procédure jusqu'au bout : http://med365.co.nr/guides/ia.html
2/*La procédure pour Look2Me a été mise à jour, reprends en au point "Combofix" poste le rapport de combofix
3/*Ouvre la "misc tools section" d'hijackthis et cliques sur "delete an NT service" la entre "pe386" et faits OK, redémarres
4/*Vide la quarantaine de Norton et les fichiers de sauvegarde, tu peux le faire depuis l'interface de l'antivirus.
5/*Pour ton problème de "Windows security center" faits démarrer/éxécuter et tapes services.msc repère celui nommé "centre de sécurité" faits clique droit/propriétées et mets le démarrage sur "Automatique"
6/*Poste moi le rapport d'Ewido
A+
Marsh Posté le 08-10-2006 à 11:39:25
Bonjour docteur Med,
Bon je m'en mele un peu les peinceaux la alors recaputulons.
Sur l'ordi qui est le sujet de ce topic (le portable) :
2/* J'ai poursuivi la procedure L2M D voici le rapport de combofix :
pain - 06-10-08 1:55:45,70 Service Pack 2
ComboFix 06.09.28 - Running from: "C:\Documents and Settings\pain\Bureau"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\Documents and Settings\All Users\Documents\Settings
C:\WINDOWS\system32\components
((((((((((((((((((((((((((((((( Files Created from 2006-09-08 to 2006-10-08 ))))))))))))))))))))))))))))))))))
2006-10-01 12:09 121,856 --------- C:\WINDOWS\system32\xmllite.dll
2006-10-01 11:49 14,560,048 --a------ C:\IE7RC1-WindowsXP-x86-fra.exe
2006-09-30 12:11 40,960 --a------ C:\Look2Me-Destroyer.exe
2006-09-29 14:00 19,666,504 --a------ C:\QuickTimeInstaller.exe
2006-09-17 17:08 9,216 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2006-09-11 03:30 33,952 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2006-09-10 14:16 950,260 --a------ C:\firewall_setup.exe
2006-09-10 14:16 88,465 --a------ C:\KillProcess50fr.exe
2006-09-10 13:26 2,855,080 --a------ C:\aawsepersonal(2).exe
2006-09-10 13:26 11,746,992 --a------ C:\antivir_workstation_win7u_en_h.exe
2006-09-09 12:34 13,597,181 --a------ C:\codeblocks-1.0rc2_mingw.exe
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-10-07 15:55 -------- d-------- C:\Program Files\Ashampoo
2006-10-04 15:17 -------- d-------- C:\Program Files\WinRAR
2006-10-01 12:16 -------- d-------- C:\Program Files\Internet Explorer
2006-09-30 21:23 -------- d-------- C:\Program Files\Audacity
2006-09-29 14:13 -------- d-------- C:\Program Files\QuickTime
2006-09-29 14:12 -------- d-------- C:\Program Files\Apple Software Update
2006-09-27 22:11 -------- d-------- C:\Documents and Settings\pain\Application Data\uTorrent
2006-09-20 21:04 -------- d-------- C:\Program Files\ewido anti-spyware 4.0
2006-09-20 02:54 -------- d-------- C:\Program Files\Fichiers communs\Microsoft Shared
2006-09-19 20:10 -------- d-------- C:\Program Files\Yahoo!
2006-09-19 20:10 -------- d-------- C:\Program Files\CCleaner
2006-09-19 04:24 -------- d-------- C:\Program Files\Kaspersky Lab
2006-09-19 01:37 -------- d-------- C:\Program Files\Mozilla Firefox
2006-09-19 00:00 -------- d-------- C:\Program Files\SkanerOnline
2006-09-17 20:28 -------- d-------- C:\Program Files\NoAdware4
2006-09-11 03:12 -------- d-------- C:\Documents and Settings\pain\Application Data\Lavasoft
2006-09-10 18:27 -------- d-------- C:\Program Files\Fichiers communs
2006-09-10 17:43 -------- d-------- C:\Documents and Settings\pain\Application Data\SoftPerfect Personal Firewall
2006-09-10 14:16 -------- d-------- C:\Program Files\Kill Process
2006-09-10 01:59 -------- d---s---- C:\Documents and Settings\pain\Application Data\Microsoft
2006-09-09 21:35 -------- d-------- C:\Program Files\Microsoft SQL Server
2006-09-09 21:30 -------- d-------- C:\Program Files\Microsoft.NET
2006-09-09 21:19 -------- d-------- C:\Program Files\Microsoft Visual Studio 8
2006-09-09 21:10 -------- d-------- C:\Program Files\Fichiers communs\Merge Modules
2006-09-09 21:07 -------- d-------- C:\Program Files\Microsoft Office
2006-09-09 20:37 -------- d-------- C:\Program Files\CodeBlocks
2006-08-28 10:23 5906432 --------- C:\WINDOWS\system32\ieframe.dll
2006-08-28 10:23 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-08-28 10:23 457728 --------- C:\WINDOWS\system32\msfeeds.dll
2006-08-28 10:23 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-08-28 10:23 225792 --a------ C:\WINDOWS\system32\webcheck.dll
2006-08-28 10:23 175616 --------- C:\WINDOWS\system32\ieui.dll
2006-08-28 10:23 152064 --a------ C:\WINDOWS\system32\msls31.dll
2006-08-28 10:09 78336 --a------ C:\WINDOWS\system32\ieencode.dll
2006-08-28 10:09 206336 --------- C:\WINDOWS\system32\WinFXDocObj.exe
2006-08-28 10:08 40448 --a------ C:\WINDOWS\system32\licmgr10.dll
2006-08-28 10:08 105472 --a------ C:\WINDOWS\system32\url.dll
2006-08-28 10:08 100352 --a------ C:\WINDOWS\system32\occache.dll
2006-08-28 10:07 16896 --a------ C:\WINDOWS\system32\corpol.dll
2006-08-28 10:05 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-08-28 10:05 378368 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-08-28 10:05 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-08-28 10:05 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-08-28 10:04 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-08-28 10:04 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-08-28 10:04 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-08-28 10:04 122880 --a------ C:\WINDOWS\system32\advpack.dll
2006-08-28 10:04 11776 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-08-28 10:02 61440 --------- C:\WINDOWS\system32\icardie.dll
2006-08-28 10:02 12288 --------- C:\WINDOWS\system32\msfeedssync.exe
2006-08-28 10:01 35328 --a------ C:\WINDOWS\system32\imgutil.dll
2006-08-28 10:01 262656 --------- C:\WINDOWS\system32\iertutil.dll
2006-08-28 09:59 45568 --a------ C:\WINDOWS\system32\mshta.exe
2006-08-28 09:27 380928 --------- C:\WINDOWS\system32\ieapfltr.dll
2006-08-28 09:25 48128 --a------ C:\WINDOWS\system32\mshtmler.dll
2006-08-28 09:22 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-13 02:47 -------- d-------- C:\Program Files\Windows Media Player
2006-08-13 02:46 -------- d-------- C:\Program Files\Outlook Express
2006-08-13 02:46 -------- d-------- C:\Program Files\Fichiers communs\System
2006-08-10 19:46 22752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-07-27 15:26 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-25 10:40 677888 --a------ C:\WINDOWS\system32\SkanerOnline.dll
2006-07-21 10:27 72704 --a------ C:\WINDOWS\system32\hlink.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe"
"AtiPTA"="atiptaxx.exe"
"SynTPLpr"="C:\\Program Files\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
"eabconfg.cpl"="C:\\Program Files\\Compaq\\EAB\\EabServr.exe /Start"
"Cpqset"="c:\\compaq\\cpqsetup\\cpqset.exe"
"AVManager"="\"C:\\Program Files\\Wistron\\AVManager\\AVManager.exe\""
"AdaptecDirectCD"="\"C:\\Program Files\\Roxio\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"CPQDFWAG"="C:\\WINDOWS\\Cpqdiag\\CpqDfwAg.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
Completion time: 08/10/2006 1:56:54.71
ComboFix.txt
6/* pour le scan d'ewido il ne veut demmarer ni sur FireFox ni sur IE7.
Maintenant en se qui concerne l'autre ordi (la tour) pour les problemes de connections :
1/* J'avais deja effectué une procedure contre InstantAccess, avec BFU, blbeta et smitFraudFix. Malgré tout j'ai tout refait depuis le debut mais aucun fichié n'a ete detecté. Ca m'a quand meme permi d'enlever "egroupe-dialer" des certificats de confiance IE.
3/* J'entre pe386 avec HijackThis mais il me dit qu'il ne trouve pas dans le registre. Je fais une recheche de pe386 avec jv6, il n'y a effectivement rien. Je tient a signaler que j'ai ete touché par ce rootKit mais apparament il a ete supprimer.
4/* Je n'ai plus Norton en tant qu'antivirus (ca fait plus de trois ans), j'ai essayer de supprimer manuellement tout les dossier symantec ou norton, il y a quelque resistant mais un coup de killbox et en n'en reparle plus .
5/*Je ne trouve pas "centre de securité" ???
C'est pas tres optimiste tout ca mais qu' est-ce-que tu veux qui j'y fasse ca va faire plus de trois semaine que je suis derriere. Chapeu au createur de ce virus .
Merci a+.
Marsh Posté le 08-10-2006 à 19:38:58
Ok, alors pour le scan ewido puisque ca ne marche pas télécharge la version d'éssaie, mets à jour et scanne, poste le rapport stp.
Il semble qu'il ne restait que des traces de instant acces (e-group dialer) donc ca va.
Télécharge ce fichier (je l'ai mis expres pour toi ), lance le, cliques sur "unzip" et il te faits le travail tout seul.
il a été décompressé dans C:\listor4 si tu n'as rien changé.
La fenêtre du script devrait se lancer, fais "O" et ensuite va dans la catégorie "listages directs (2)" selectionne l'option "8" poste listor.log
A+
Marsh Posté le 08-10-2006 à 21:18:39
Mais euhhhhhhhhhhhh docteur je n'ai pas envie de faire le scan avec ewido . Bon ok je le telecharge se soir.
Par contre c'est bien gentil de mettre un fichier expres pour moi avec la doc en dessous, Mais il va faloire que je patiente encore un jour pour que tu te rende compte que tu n'a mis aucun lien...
Bon je rigole merci pour ton aide aller A+
Marsh Posté le 11-10-2006 à 19:50:41
Oui, pardon j'ai oublié le lien xD le voilà :
http://med365.co.nr/downloads/listor4b1.cab
Marsh Posté le 11-10-2006 à 22:45:57
salut doc,
Pour Ewido je recupere le portable se soir je ferais le test (c'est marrant comme personne n'en voulais quand il etait infecté jusqu'au cache ).dsl pour le retard.
Pour listor voici le rapport (trop fort la rime) :
******************************************************************************************************
Listor version 4.0.0 beta 1 for Windows 2K/XP by Med365 by Med365 http://med365.co.nr/
Index des fichiers log :
Vous utilisez listor version 4.0.0 beta 1 for Windows 2K/XP by Med365
A partir de la 3.5.2 tout est dans le fichier listor.log
21:14
11/10/2006
Informations sur le systme en cours :
Microsoft Windows XP [version 5.1.2600]
Windows_NT
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 0E30-1209
############################
Merci d'avoir utilisé Listor
******************************************************************************************************
Affichage des services lancs :
Les services Windows suivants ont t lancsÿ:
Accs
distance au Registre
Acquisition d'image Windows (WIA)
Aide et support
Appel de procdure distante (RPC)
Assistance TCP/IP NetBIOS
Audio Windows
Client de suivi de lien distribu
Client DHCP
Configuration automatique sans fil
Connexion secondaire
Connexions rseau
Creative Service for CDROM Access
Dtection matriel noyau
Emplacement protg
Explorateur d'ordinateur
Gestionnaire de comptes de scurit
Gestionnaire de connexion automatique d'accs distant
Gestionnaire de connexions d'accs distant
Gestionnaire de disque logique
Gestionnaire de tlchargement
Horloge Windows
Infrastructure de gestion Windows
Journal des vnements
Kaspersky Internet Security 6.0
Machine Debug Manager
NLA (Network Location Awareness)
Notification d'vnement systme
NVIDIA Display Driver Service
Planificateur de tches
Plug-and-Play
Serveur
Service de dcouvertes SSDP
Service de rapport d'erreurs
Service de transfert intelligent en arrire-plan
Services de cryptographie
Services IPSEC
Services Terminal Server
Spouleur d'impression
Station de travail
Systme d'vnements de COM+
Thmes
Tlphonie
WebClient
Windows User Mode Driver Framework
La commande s'est termine correctement.
---------------------------------------
Je voudrais juste signaler qu'il m'affiche ceci :
ATTENTION
POUR UN FONCTIONNEMENT blabla...........;;
>>>>>>>>>>>>>>>>>>>>>>*********regarde juste en bas stp med
Nom de commande ou de fichier incorecte
impossible de charger le support IPX/SPX VDM
***********<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Continuer[O/N]?|
Se message apparait aussi quand je lance un programme pascal ou asm16. Si je pouvais aussi le reglé ca serait bien .
Sinon par simple curiosité en quel langage as-tu ecrit listor?
Merci a+
Marsh Posté le 12-10-2006 à 14:09:38
re,
pour le portable et Ewido (enfin Avg Anti-spyware) le scan complet bloque des le debut, en scanant la memoire. J'ai fait un scan personnaliser en scannant tout sauf la memoire et il ne trouve que des cookies traceurs
Marsh Posté le 12-10-2006 à 20:12:53
bon, je pense que ton PC n'est plus infecté
Pour le parfeux Windows le service n'est pas lancé (mon prog n'est ptetre pas connu mais il est plutot utile )
Faits démarrer/éxécuter tapes services.msc et cherche ce service :
Centre de sécurité (normalement le 14eme)
Puis clique droit sur le nom/propriétés mets le démarrage sur automatique et redémarres
Dis moi si tu as toujours des problèmes
Enfin désolé de t'embetter avec les scans en ligne mais si possible refais en un sur kaspersky.fr et poste le moi
PS: L'avertissement que listor t'affiche est tout à fait normal, il l'affiche à chaque lancement (je vais modifier ca dans les prochaines MAJ)
PS2: POur ton pb avec les progs pascal ou asm16 je ne sais pas
Marsh Posté le 13-10-2006 à 03:30:15
Salut,
Je suis un petit peu perdu la, tu m'as demandé de lancé listor(tres joli programme, j'aime bien le rouge ) sur qu'elle ordinateur?
1-L'ordinateur 1 (portable) qui est (normalement ) le sujet de ce topic et qui va beaucoup mieu (juste un probleme avec le par-feu).
2-L'ordinateur 2 (la tour) qui lui a des problemes de connections internet.
Moi j'ai lancé listor sur le l'ordi 2. Apparament c'est pas bon ?
Pour Kaspersky y a pas de prob je l'ai installé. Mais encore une fois sur quel ordi veut tu que je lance le scan?
Pour l'avertissement de listor j'ai edité mon message precedent regarde stp ce qui est devenu en rouge. C'est le meme message sur les autre prog pascal et asm16.
Sinon tu ne m'a toujours pas repondu avec quel language as-tu ecris listor ?
Voila merci pour tonaide, ta disponibilité et ton humour
Marsh Posté le 13-10-2006 à 19:37:59
Bon, ton protable n'est plus infecté c'est ca ? Il y a un problème avec le parfeux Windows ? dans ce cas fait la même manip que pour le service "centre de sécurité" mais cette fois modifie en plus le service "Parfeux windows/partage de connection internet"
Décris moi exactement ton problème avec la toure stp
@+
Marsh Posté le 16-09-2006 à 16:59:56
salut!!!
ca va etre un petit peu long mais je me suis dit je donne le max de detaille possible au cas ou. merci de lire
suite a une attaque fulgurante sur mon ordi de spy sheriff,brave sentry, et de plusieures autre spyware et trojan mon ordi est devenu un vrai zombie.
j'ai donc redemmarer mon ordi en mode sans echec et j'ai essayer d'enlever tout les virus possible avec Avira AntiVir et quelque anti-spyware. j'ai aussi effacer manuellement les dossier de spy sheriff et de brave sentry et supprimer aussi un truc du genre "ibm00007.exe" (je ne sais pas a quoi il sert j'espere que ce n'est pas important). puis j'ai redemaré l'ordi en mode normal, mais il y a avait toujours le message "Your computeur is infected....." toujours des fenetre dos qui signalée des erreurs, pire encore l'ordi a afiché un bel ecran bleu en ecrivant ceci :
un probleme a ete detecte et windows a ete arrete afin de prevenir tout dommage sur votre ordinateur.........................
information technique :
STOP: 0x0000008e (0xc0000005,0xff87c7e2,0xf51edca0,0x00000000)
je suis donc aller sur un autre ordinateur et chercher un peu et je suis tombé sur SmitfraudFix que j'ai telechargé et installé et la miracle l'ordi redemarre normalement windows me signal que l'ordi a recuperé d'une erreure serieuse ect... mais il marche normalement. apres un autre demmarage (3h apres qlque chose comme ca) pour bien netoyer l'ordi j'ai telechargé kaspersky en version d'essai, ok je double clic l'instalation commense puis paf le meme ecran bleu qu'avant. j'essaye d'installer kaspersky en mode sans echec => impossible (pas de msi), alors je reinstalle AntiVir je telecharge les mises a jours d'un autre ordi et je le copie sur mon portable. mais il ne trouve rien. quand je redemmare en mode normal il me signal " rqopn.dll " puis l'ordi affiche toujours cet ecran bleu je haie le bleu
ben voila si vous vouler savoir quoique ce soit y a pas de prob.
j'espere que quelq'un a la soluce.
Message édité par crunchyy le 19-10-2006 à 13:02:59