Trojan impossible à supprimer
Trojan impossible à supprimer - Sécurité - Windows & Software
Marsh Posté le 25-03-2007 à 19:25:42
Salut, alors je te propose de faire ceci :
1. Va sur http://www.bitdefender.fr/ et fait un scan en ligne, ensuite poste le rapport sur le forum.
2. Télécharge SpyBot S&D : http://www.safer-networking.org/, installe le, fais les mises à jour et scan, di moi ce qui est trouvé et poste le rapport.
3. Télécharges AVG-Antispyware : http://www.ewido.net/, fais comme pour SpyBot (MAJ, scan et rapport)
4. Télécharges Listor CL : http://med365.co.nr/, ensujite suit ces indications :
a/ décompresse le CAB
b/ lance le SFX
c/ Lance le fichier ListorCL.exe
d/ A l'invite de commande tape mrt accepte le scan de l'outil microsoft, il va virer ce qu'il trouve.
e/ Tape rtkscan, il va vouloir télécharger l'outil F-Secure, répond oui (Y) à toutes les questions
f/ Quand le scan est terminé, poste le fichier fsbl-suitedenombre.txt
@+
Marsh Posté le 26-03-2007 à 14:08:51
Hello med365
Je te remercie pour ton intervention mais je suis parvenue finalement à m'en débarasser hier matin en refixant les lignes avec HijackThis et en fusionnant ce reg 
Comme je ne connais pas la cause de ce pb, s'il venait à se renouveler, j'essaierai avec tes manipes ne serait ce que pour apprendre 
Encore merci 
Marsh Posté le 29-03-2007 à 09:01:39
OK, je te conseille quand même d'installer Spybot et de l'utiliser régulièrement, c'est un très bon outil...
Tu devrais faire une analyse avec pour voir s'il détecte autre chose...
Marsh Posté le 29-03-2007 à 09:11:23
Kikoo
Merci med pour le conseil, mais j'ai effectivement spybot et ad-aware depuis longtemps et je m'en sers régulièrement
Encore merci à toi 
Bizzzzzzz
Marsh Posté le 29-03-2007 à 09:33:29
Salut, alors c'est une bonne chose
Content d'avoir pu t'aider
@+ !
Marsh Posté le 29-03-2007 à 09:43:58
Vi merci, tu es adorable
J'ai quand même été voir Listor CL, peux tu m'en dire un peu plus sur lui ?
biz
Marsh Posté le 29-03-2007 à 10:55:15
Listor CL est un petit outil sous forme de shell qui permet de voir le contenu "a risque" des répertoire systèmes (fchiers DLL, excutables etc...) les LSP de Winsocks, les 3 principales clés de boot, les services et processus lancés etc... pour repérer une infection.
Il peut aussi lancer un scan anti rootkits avec l'outil Blacklight de F-Secure ainsi que le Microsoft Malware Removal Tool pour virer quelques intrus...
Il n'est pas très connu mais ca peut servir, je vais encore l'améliorer...
Marsh Posté le 29-03-2007 à 18:38:01
Bonjour à tous
Je viens de m'inscrire sur le forum qui a l'air sympa
Je ne suis pas un habitué des forums
Je vais essayer de faire cour
Voila:
Lorsque j'ouvre internet explorer 7 ou mozilla,j'ai des nouvelles fenêtres ou des onglets qui s'ouvrent intempestivement
J'ai sutout une fenêtre de spy ware ou message d'avertissement qui s'affiche,il me demande d'installer un logiciel spysecure
Bref j'envoie un scan en ligne:rien
spy bot : aucun mouchard trouvé
adawre : il plante au bout d'un moment
AU SECOURS
Je ne sais plus quoi faire
Message édité par TITOYEMAN le 29-03-2007 à 18:39:00
Marsh Posté le 29-03-2007 à 19:24:03
OK,
Télécharges SmitFraudFix : http://siri.urz.free.fr/
Ad-Fix : http://home.tele2.fr/gchrispage/in [...] Ad-Fix.zip
Décompresse les archives,
Lance le fichier SmitFraudFix.cmd et choisis "scan", poste le rapport
Fait de même avec Ad-Fix.bat
POUR L'INSTANT NE TOUCHE PAS A L'OPTION FIX !
Marsh Posté le 29-03-2007 à 21:03:51
Ad-Fix v0.101a
by gchris
OPTION 1 (Scan) :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Démarré à :
20:57:59,62 29/03/2007
Executé depuis :
C:\Documents and Settings\TITO\Mes documents\ad-fix\Ad-Fix
Os :
Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Recherche de fichier manquant
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Fichiers cachés (pas forcément mauvais)
.exe dans System32 :
No matches found.
.dll dans System32 :
No matches found.
.dat dans System32 :
No matches found.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Analyse du registre
---------- USER AGENT -- POST PLATFORM
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
----------
---------- AppInit_DLLs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
----------
HKCR\Interface\{48E59292-9880-11CF-9754-00AA00C00908} Détecté !
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net Détecté !
HKLM\SOFTWARE\Classes\Interface\{48E59292-9880-11CF-9754-00AA00C00908} Détecté !
Complete!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Recherche de fichiers et dossiers
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Terminé à 21:01:05,82
________________________________________________________
Voila pour le premier
Marsh Posté le 29-03-2007 à 21:06:57
SmitFraudFix v2.159
Rapport fait à 21:06:02,31, 29/03/2007
Executé à partir de C:\Documents and Settings\TITO\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\windows\system32\tyjvloaci.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\TITO
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\TITO\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\TITO\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
_________________________________________________________
Voila pour le Deuxième
Marsh Posté le 30-03-2007 à 19:29:41
OK, démarres en mode sans échecs (redémarre et tapotela touche F8 puis séléctionne "Mode sans Echecs" )
Relance Ad-Fix et la sélectionne l'option "Fix"
Poste le nouveau rapport...
Marsh Posté le 31-03-2007 à 11:55:54
Ad-Fix v0.101a
by gchris
OPTION 2 (Fix) :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Démarré à :
11:49:06,78 31/03/2007
en mode sans échec
Executé depuis :
C:\Documents and Settings\TITO\Mes documents\ad-fix\Ad-Fix
Os :
Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Recherche de fichier manquant
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nettoyage du registre
HKCR\Interface\{48E59292-9880-11CF-9754-00AA00C00908} Supprimé !
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net Supprimé !
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Suppression des fichiers
C:\WINDOWS\system32\*_nav.dat Supprimé !
C:\WINDOWS\system32\*_navps.dat Supprimé !
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Terminé à 11:53:37,01
Redémarrage effectué
___________________________________________
le voila
Marsh Posté le 31-03-2007 à 12:44:49
Titoyeman, tu est infecté par Navipromo, suis ce guide A LA LETTRE : http://med365.co.nr/guides/ia.html
Marsh Posté le 31-03-2007 à 16:40:33
Merci les gars
J'ai essayé de faire toutes les manips, mais il y en a certaines qui ont foiré
Apparement,le problème ne revient plus
S'il revient, je réessaierai les manips sinon je vous recontacterai
ET MERCI ENCORE
Marsh Posté le 01-04-2007 à 11:33:42
Ad-Fix v0.101a
by gchris
OPTION 1 (Scan) :
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Démarré à :
11:28:32,71 01/04/2007
Executé depuis :
C:\Documents and Settings\TITO\Mes documents\ad-fix\Ad-Fix
Os :
Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Recherche de fichier manquant
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Fichiers cachés (pas forcément mauvais)
.exe dans System32 :
No matches found.
.dll dans System32 :
C:\WINDOWS\SYSTEM32\
bbf_s.dll Sat 31 Mar 2007 15:59:42 A.SH. 5 0,00 K
1 item found: 1 file, 0 directories.
Total of file sizes: 5 bytes 0,00 K
.dat dans System32 :
No matches found.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Analyse du registre
---------- USER AGENT -- POST PLATFORM
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
----------
---------- AppInit_DLLs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
----------
Complete!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Recherche de fichiers et dossiers
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Terminé à 11:31:44,85
____________________________________________________________
fausse alerte apperement il est de retour
je vais réessayer les manips
je vous tients au courant
Marsh Posté le 01-04-2007 à 12:49:12
j'ai fait un listing de démmarrage
et il y a une ligne qui me "semble" suspecte je ne vois ce que c'est
"tyjvloaci"="c:\\windows\\system32\\tyjvloaci.exe tyjvloaci"- celle-ci
par contre listor cl ne trouve pas un fichier exe alors il arrête
et jv16 plante lorsque je lance nettoyage de registre
Marsh Posté le 01-04-2007 à 20:09:03
Je ne connais pas ce tyjvloaci.exe, mais il me parait suspect...
Quel est le fichier que listor ne trouve pas ?
Télécharges Hijackthis (http://merijn.org/), cliques sur "Do a system scan and save a log file" et poste le fichier hijackthis.log
@+
Marsh Posté le 01-04-2007 à 20:59:12
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:56:50, on 01/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\TITO\Mes documents\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.evc.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/win [...] .0.228.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Service SNMP (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 8001 bytes
______________________________________________________
"blbetac.exe" c'est celui la
Ah au fait merci d'être à l'écoute
Message édité par TITOYEMAN le 01-04-2007 à 21:02:11
Marsh Posté le 04-04-2007 à 15:46:42
Coche et fixe
| Citation : |
Pour listor CL, supprime ta version éxistante, télécharge l'archive depuis mon site (http://med365.co.nr/), décompresse l'archive dans son dossier propre, lance le sfx et cliques sur "extract".
Ensuite lance le fichier listor.exe et rééssaies de lancer le scan antirootkits (commande rtkscan).
Marsh Posté le 04-04-2007 à 18:29:58
Toujours le même problême : fichier manquant
Je me demande si c'est pas mon pare feu qui fait merder l'application
Marsh Posté le 04-04-2007 à 20:59:30
Non, ce n'est pas ca : Ils ont changé le nom du fichier chez F-Secure...
Je mets à jour listor dès que possible...
Sujets relatifs:
- trojan Impossible a supprimer
- Trojan DNSChanger.hg impossible à supprimer
- Trojan DNSChanger.hg impossible à supprimer
- Impossible de supprimer Trojan.Dowloader.Zlob
- Win32.Trojan.Agent.cs impossible à supprimer avec Ad-Aware
- C:\windows\system32\rdriv.sys (trojan) impossible à supprimer...help
- Problème avec un trojan impossible a supprimer
- virus trojan impossible a supprimer
- Trojan Downloader.WIN3 impossible a supprimer.
- Anti Hacker and Trojan expert impossible a supprimer
Marsh Posté le 22-03-2007 à 17:54:52
Bonjour à tous,
Me voici avec un petit souci bien embêtant...
En faisant en log HijacThis j'ai trouvé 5 lignes bizarres
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
Après recherches sur le net, il s'avère qu'il sagisse de trojan, j'ai donc fixé avec Hijackthis en mode sans échec, après avoir afficher les dossiers cachés, vidé mon cache, mais elles résistent
J'ai utilisé Ad-Fix qui a trouvé et supprimé zonemap/mediamotor mais pas le reste...
Au grands mots les grands moyens, j'ai été supprimer dans la base de registre, tout ce qui concerne ProtocolDefaults et là supprise, non seulement elles sont toujours présentes, mais 5 de plus sont apparues avec HKLM
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
J'avoue que là j'en perds mon latin et vos lumières sont les bienvenues
Merci
---------------
Lola