Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1717 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Trojan impossible à supprimer

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Trojan impossible à supprimer

n°2664588
Lola7
Posté le 22-03-2007 à 17:54:52  profilanswer
 

Bonjour à tous,
 
Me voici avec un petit souci bien embêtant...
En faisant en log HijacThis j'ai trouvé 5 lignes bizarres  :ouch:  
 
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

 
Après recherches sur le net, il s'avère qu'il sagisse de trojan, j'ai donc fixé avec Hijackthis en mode sans échec, après avoir afficher les dossiers cachés, vidé mon cache, mais elles résistent  :cry:  
J'ai utilisé Ad-Fix qui a trouvé et supprimé zonemap/mediamotor mais pas le reste...
 
Au grands mots les grands moyens, j'ai été supprimer dans la base de registre, tout ce qui concerne ProtocolDefaults et là supprise, non seulement elles sont toujours présentes, mais 5 de plus sont apparues avec HKLM :pt1cable:  
   
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)    
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)  
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)  
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)  
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

 
J'avoue que là j'en perds mon latin et vos lumières sont les bienvenues  :)  
 
Merci  :hello:  


---------------
Lola
mood
Publicité
Posté le 22-03-2007 à 17:54:52  profilanswer
 

n°2665939
med365
Posté le 25-03-2007 à 19:25:42  profilanswer
 

Salut, alors je te propose de faire ceci :
 
1. Va sur http://www.bitdefender.fr/ et fait un scan en ligne, ensuite poste le rapport sur le forum.
2. Télécharge SpyBot S&D : http://www.safer-networking.org/, installe le, fais les mises à jour et scan, di moi ce qui est trouvé et poste le rapport.
3. Télécharges AVG-Antispyware : http://www.ewido.net/, fais comme pour SpyBot (MAJ, scan et rapport)
4.  Télécharges Listor CL : http://med365.co.nr/, ensujite suit ces indications :
a/ décompresse le CAB  
b/ lance le SFX
c/ Lance le fichier ListorCL.exe
d/ A l'invite de commande tape mrt accepte le scan de l'outil microsoft, il va virer ce qu'il trouve.
e/ Tape rtkscan, il va vouloir télécharger l'outil F-Secure, répond oui (Y) à toutes les questions
f/ Quand le scan est terminé, poste le fichier fsbl-suitedenombre.txt
 
@+

n°2666262
Lola7
Posté le 26-03-2007 à 14:08:51  profilanswer
 

Hello med365
 
Je te remercie pour ton intervention mais je suis parvenue finalement à m'en débarasser hier matin en refixant les lignes avec HijackThis et en fusionnant ce reg ;)  
 
Comme je ne connais pas la cause de ce pb, s'il venait à se renouveler, j'essaierai avec tes manipes ne serait ce que pour apprendre  :D  
 
Encore merci  :hello:

n°2667936
med365
Posté le 29-03-2007 à 09:01:39  profilanswer
 

OK, je te conseille quand même d'installer Spybot et de l'utiliser régulièrement, c'est un très bon outil...
Tu devrais faire une analyse avec pour voir s'il détecte autre chose...

n°2667939
Lola7
Posté le 29-03-2007 à 09:11:23  profilanswer
 

Kikoo
 
Merci med pour le conseil, mais j'ai effectivement spybot et ad-aware depuis longtemps et je m'en sers régulièrement  ;)  
Encore merci à toi  :love:  
 
Bizzzzzzz

n°2667951
med365
Posté le 29-03-2007 à 09:33:29  profilanswer
 

Salut, alors c'est une bonne chose ;)
Content d'avoir pu t'aider
@+ !

n°2667956
Lola7
Posté le 29-03-2007 à 09:43:58  profilanswer
 

Vi merci, tu es adorable  :love:  
J'ai quand même été voir Listor CL, peux tu m'en dire un peu plus sur lui ?  :D  
 
biz

n°2668027
med365
Posté le 29-03-2007 à 10:55:15  profilanswer
 

Listor CL est un petit outil sous forme de shell qui permet de voir le contenu "a risque" des répertoire systèmes (fchiers DLL, excutables etc...) les LSP de Winsocks, les 3 principales clés de boot, les services et processus lancés etc... pour repérer une infection.
Il peut aussi lancer un scan anti rootkits avec l'outil Blacklight de F-Secure ainsi que le Microsoft Malware Removal Tool pour virer quelques intrus...
Il n'est pas très connu mais ca peut servir, je vais encore l'améliorer...

n°2668393
TITOYEMAN
Posté le 29-03-2007 à 18:38:01  profilanswer
 

Bonjour à tous
Je viens de m'inscrire sur le forum qui a l'air sympa
Je ne suis pas un habitué des forums  
Je vais essayer de faire cour
Voila:
Lorsque j'ouvre internet explorer 7 ou mozilla,j'ai des nouvelles fenêtres ou des onglets qui s'ouvrent intempestivement  
J'ai sutout une fenêtre de spy ware ou message d'avertissement qui s'affiche,il me demande d'installer un logiciel spysecure
Bref j'envoie un scan en ligne:rien
spy bot : aucun mouchard trouvé
adawre : il plante au bout d'un moment
AU SECOURS
Je ne sais plus quoi faire


Message édité par TITOYEMAN le 29-03-2007 à 18:39:00
n°2668419
med365
Posté le 29-03-2007 à 19:24:03  profilanswer
 

OK,
 
Télécharges SmitFraudFix : http://siri.urz.free.fr/  
Ad-Fix : http://home.tele2.fr/gchrispage/in [...] Ad-Fix.zip
 
Décompresse les archives,
 
Lance le fichier SmitFraudFix.cmd et choisis "scan", poste le rapport
Fait de même avec Ad-Fix.bat
 
POUR L'INSTANT NE TOUCHE PAS A L'OPTION FIX !

mood
Publicité
Posté le 29-03-2007 à 19:24:03  profilanswer
 

n°2668447
TITOYEMAN
Posté le 29-03-2007 à 21:03:51  profilanswer
 

 
 
         Ad-Fix v0.101a
         by gchris
 
 
OPTION 1 (Scan) :
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
                  Démarré à :  
 
20:57:59,62 29/03/2007  
 
 
                  Executé depuis :  
 
C:\Documents and Settings\TITO\Mes documents\ad-fix\Ad-Fix
 
 
                  Os :  
 
Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
            Recherche de fichier manquant
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Fichiers cachés (pas forcément mauvais)
 
 
    .exe dans System32 :
 
No matches found.
 
    .dll dans System32 :
 
No matches found.
 
    .dat dans System32 :
 
No matches found.
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Analyse du registre
 
 
---------- USER AGENT -- POST PLATFORM
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
 
----------
 
----------  AppInit_DLLs
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
 
----------
HKCR\Interface\{48E59292-9880-11CF-9754-00AA00C00908}     Détecté !
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net     Détecté !
HKLM\SOFTWARE\Classes\Interface\{48E59292-9880-11CF-9754-00AA00C00908}     Détecté !
 
 
   Complete!
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Recherche de fichiers et dossiers
 
 
 
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
Terminé à 21:01:05,82  
 
________________________________________________________
 
Voila pour le premier

n°2668452
TITOYEMAN
Posté le 29-03-2007 à 21:06:57  profilanswer
 

SmitFraudFix v2.159
 
Rapport fait à 21:06:02,31, 29/03/2007
Executé à partir de C:\Documents and Settings\TITO\Mes documents\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
 
»»»»»»»»»»»»»»»»»»»»»»»» Process
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\windows\system32\tyjvloaci.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cmd.exe
 
»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\TITO
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\TITO\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\TITO\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
 
 
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 
_________________________________________________________
 
Voila pour le Deuxième

n°2668879
med365
Posté le 30-03-2007 à 19:29:41  profilanswer
 

OK, démarres en mode sans échecs (redémarre et tapotela touche F8 puis séléctionne "Mode sans Echecs" )
 
Relance Ad-Fix et la sélectionne l'option "Fix"
 
Poste le nouveau rapport...

n°2669082
TITOYEMAN
Posté le 31-03-2007 à 11:55:54  profilanswer
 

 
 
         Ad-Fix v0.101a
         by gchris
 
 
OPTION 2 (Fix) :
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
                  Démarré à :  
 
11:49:06,78 31/03/2007  
en mode sans échec
 
 
                  Executé depuis :  
 
C:\Documents and Settings\TITO\Mes documents\ad-fix\Ad-Fix
 
 
                  Os :  
 
Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
            Recherche de fichier manquant
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
             Nettoyage du registre
 
HKCR\Interface\{48E59292-9880-11CF-9754-00AA00C00908}    Supprimé !
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net    Supprimé !
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
             Suppression des fichiers
 
C:\WINDOWS\system32\*_nav.dat    Supprimé !
C:\WINDOWS\system32\*_navps.dat    Supprimé !
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
Terminé à 11:53:37,01  
 
 
Redémarrage effectué
 
___________________________________________
 
le voila

n°2669096
med365
Posté le 31-03-2007 à 12:44:49  profilanswer
 

Titoyeman, tu est infecté par Navipromo, suis ce guide A LA LETTRE : http://med365.co.nr/guides/ia.html

n°2669204
TITOYEMAN
Posté le 31-03-2007 à 16:40:33  profilanswer
 

Merci les gars  
J'ai essayé de faire toutes les manips, mais il y en a certaines qui ont foiré
Apparement,le problème ne revient plus  
S'il revient, je réessaierai les manips sinon je vous recontacterai
ET MERCI ENCORE

n°2669256
med365
Posté le 31-03-2007 à 19:54:41  profilanswer
 

De rien et content d'avoir pu t'aider ;)

n°2669476
TITOYEMAN
Posté le 01-04-2007 à 11:33:42  profilanswer
 

 
 
         Ad-Fix v0.101a
         by gchris
 
 
OPTION 1 (Scan) :
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
                  Démarré à :  
 
11:28:32,71 01/04/2007  
 
 
                  Executé depuis :  
 
C:\Documents and Settings\TITO\Mes documents\ad-fix\Ad-Fix
 
 
                  Os :  
 
Microsoft Windows XP [version 5.1.2600]
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
            Recherche de fichier manquant
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Fichiers cachés (pas forcément mauvais)
 
 
    .exe dans System32 :
 
No matches found.
 
    .dll dans System32 :
 
C:\WINDOWS\SYSTEM32\
   bbf_s.dll      Sat 31 Mar 2007  15:59:42   A.SH.              5     0,00 K
 
1 item found:  1 file, 0 directories.
   Total of file sizes:  5 bytes      0,00 K
 
    .dat dans System32 :
 
No matches found.
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Analyse du registre
 
 
---------- USER AGENT -- POST PLATFORM
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
 
----------
 
----------  AppInit_DLLs
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
 
----------
 
 
   Complete!
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
           Recherche de fichiers et dossiers
 
 
 
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
 
Terminé à 11:31:44,85  
____________________________________________________________
 
fausse alerte apperement il est de retour
je vais réessayer les manips  
je vous tients au courant
 
 
 

n°2669520
TITOYEMAN
Posté le 01-04-2007 à 12:49:12  profilanswer
 

j'ai fait un listing de démmarrage
et il y a une ligne qui me "semble" suspecte je ne vois ce que c'est
 
"tyjvloaci"="c:\\windows\\system32\\tyjvloaci.exe tyjvloaci"- celle-ci
 
par contre listor cl ne trouve pas un fichier exe alors il arrête
et jv16 plante lorsque je lance nettoyage de registre
 

n°2669776
med365
Posté le 01-04-2007 à 20:09:03  profilanswer
 

Je ne connais pas ce tyjvloaci.exe, mais il me parait suspect...
Quel est le fichier que listor ne trouve pas ?
 
Télécharges Hijackthis (http://merijn.org/), cliques sur "Do a system scan and save a log file" et poste le fichier hijackthis.log
 
@+

n°2669799
TITOYEMAN
Posté le 01-04-2007 à 20:59:12  profilanswer
 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:56:50, on 01/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
 
C:\Documents and Settings\TITO\Mes documents\HiJackThis_v2.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.evc.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/win [...] .0.228.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Service SNMP (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
 
--
End of file - 8001 bytes
______________________________________________________
"blbetac.exe" c'est celui la  
 
Ah au fait merci d'être à l'écoute


Message édité par TITOYEMAN le 01-04-2007 à 21:02:11
n°2671627
med365
Posté le 04-04-2007 à 15:46:42  profilanswer
 

Coche et fixe  

Citation :


O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')  
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)  
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/win [...] .0.228.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab  


 
Pour listor CL, supprime ta version éxistante, télécharge l'archive depuis mon site (http://med365.co.nr/), décompresse l'archive dans son dossier propre, lance le sfx et cliques sur "extract".
Ensuite lance le fichier listor.exe et rééssaies de lancer le scan antirootkits (commande rtkscan).

n°2671777
TITOYEMAN
Posté le 04-04-2007 à 18:29:58  profilanswer
 

Toujours le même problême : fichier manquant
Je me demande si c'est pas mon pare feu qui fait merder l'application

n°2671858
med365
Posté le 04-04-2007 à 20:59:30  profilanswer
 

Non, ce n'est pas ca : Ils ont changé le nom du fichier chez F-Secure...
Je mets à jour listor dès que possible...

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Trojan impossible à supprimer

 

Sujets relatifs
trojan Impossible a supprimerTrojan DNSChanger.hg impossible à supprimer
Trojan DNSChanger.hg impossible à supprimerImpossible de supprimer Trojan.Dowloader.Zlob
Win32.Trojan.Agent.cs impossible à supprimer avec Ad-AwareC:\windows\system32\rdriv.sys (trojan) impossible à supprimer...help
Problème avec un trojan impossible a supprimervirus trojan impossible a supprimer
Trojan Downloader.WIN3 impossible a supprimer.Anti Hacker and Trojan expert impossible a supprimer
Plus de sujets relatifs à : Trojan impossible à supprimer


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR