suppression downloader.trojan - Sécurité - Windows & Software
Marsh Posté le 07-03-2005 à 13:44:27
shch.exe à supprimer.
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
C:\WINDOWS\shch.exe <-- delete le fichier
Vide la corbeille
Redémarre en mode normal et:
Fais ce Scan en ligne: RAV (avec IE obligatoirement)
Clique sur: << To continue without subscribing click here. >>, autorise l'installation du contrôle activeX, avec les options de sécurité par défaut. Pour appliquer ces paramètres :
-Ouvrir Internet Explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".
-Ouvrir Internet Explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".
Attends que "Ready" s'affiche et coche la case "Autoclean"
Clique sur "Scan my pc".
Quand le Scan est terminé (ça peut être long), copie et colle le rapport.
Quant à gcasServ.exe c'est l'antispyware de MS
Marsh Posté le 07-03-2005 à 14:06:13
je ne peuxpas à appliquer les parametres niveau par défaut, comment faire???
Marsh Posté le 07-03-2005 à 14:26:07
ake a écrit : je ne peuxpas à appliquer les parametres niveau par défaut, comment faire??? |
Tu es connecté en tant qu'administrateur?
Marsh Posté le 07-03-2005 à 14:32:24
j'en sais rien, je m'y connais que moyennement en informatique, comment je dois faire pour me connecter en tant qu'administrateur?
Où est ce que je dois coller le rapport de scan une fois qu'il sera fait?
Marsh Posté le 07-03-2005 à 14:36:19
ake a écrit : j'en sais rien, je m'y connais que moyennement en informatique, comment je dois faire pour me connecter en tant qu'administrateur? |
Tu es le seul utilisateur du PC?
Le rapport, tu fais un copier/coller dans une réponse du forum.
Marsh Posté le 07-03-2005 à 14:38:39
oui il n'y a qu'un utilisateur, c'est au démarrage qu'il faut que je fasse quelque chose?
Marsh Posté le 07-03-2005 à 14:53:51
ake a écrit : oui il n'y a qu'un utilisateur, c'est au démarrage qu'il faut que je fasse quelque chose? |
Fais comme cela:
Lance Internet Explorer > onglet "outils" > Options internet
Dans la boite de dialogue > onglet "sécurité" > Bouton "personnaliser le niveau" > tu vas à la section "contrôles activeX et plugins" > tu coches activer sur tous.
Une fois le scan online fait, tu refais la même manip jusqu'à l'onglet sécurité et la tu cliques sur le bouton "niveau par défaut"
Marsh Posté le 07-03-2005 à 15:52:38
ca y est le scan est enfin terminé!
comment supprimer tous des trucs...
voici le rapport :
Scan started at 07/03/2005 14:57:25
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\misb.exe - Tool:PornDialer.BP -> Infected
C:\Documents and Settings\Anne-Marie\Local Settings\Temp\campaign8.exe->(UPXW)->(EXEEmb)->(UPXW) - Tool:PornDialer.gen! -> Suspicious
C:\Documents and Settings\Anne-Marie\Local Settings\Temp\campaign8.exe->(EXEEmb)->(UPXW) - Tool:PornDialer.gen! -> Suspicious
C:\Documents and Settings\Anne-Marie\Local Settings\Temp\DrTemp\farmmext.cab->farmmext.exe - TrojanDownloader:Win32/Stubby.C -> Infected
C:\Documents and Settings\Anne-Marie\Local Settings\Temp\DrTemp\farmmext.exe - TrojanDownloader:Win32/Stubby.C -> Infected
C:\Program Files\Montorgueil\campaign8\campaign8.exe->(UPXW) - Tool:PornDialer.gen! -> Suspicious
C:\WINDOWS\farmmext.exe - TrojanDownloader:Win32/Stubby.C -> Infected
C:\WINDOWS\qttasks.exe - Backdoor:Win32/Webdor.G -> Infected
C:\WINDOWS\Temp\MT\campaign8.exe->(UPXW) - Tool:PornDialer.gen! -> Suspicious
Scanned
============================
Objects: 66720
Directories: 3602
Archives: 1360
Size(Kb): -944696
Infected files: 5
Found
============================
Viruses found: 3
Suspicious files: 4
Disinfected files: 0
Mail files: 79
Marsh Posté le 07-03-2005 à 16:06:17
IE > Outils > Options internet
Dans le champ "Fichiers Internet Temporaires", tu cliques sur le bouton du mileu "Supprimer les fichiers".
Tu coches la petite case "Supprimer tout le contenu hors connexion" et tu valides par Ok.
Vide ces dossiers:
-C:\documents and settings\<ton nom>\local settings\temp
-C:\temp (si présent)
-C:\windows\temp
(Ne supprime pas les dossiers eux-mêmes, mais tous les fichiers contenus.)
et vide la corbeille.
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
C:\misb.exe
C:\Program Files\Montorgueil
C:\WINDOWS\farmmext.exe
C:\WINDOWS\qttasks.exe
Delete les fichiers et le dossier en gras.
Vide la corbeille.
Redémarre en mode normal et refais un scan (eh oui) pour vérifier, poste le nouveau log
Marsh Posté le 07-03-2005 à 16:14:49
encore un problème! quand je veux supprimer le contenu local settings/temp il y a un fichier impossible à supprimer : hwyjwpyk.exe, accès refusé
comment faire?
Marsh Posté le 07-03-2005 à 16:21:06
ake a écrit : encore un problème! quand je veux supprimer le contenu local settings/temp il y a un fichier impossible à supprimer : hwyjwpyk.exe, accès refusé |
Fais le en mode sans echec
Marsh Posté le 07-03-2005 à 16:23:13
est ce que je peux faire ca demain matin ou est ce que si j'arrete l'ordinateur toute la procédure sera à refaire?
et surtout est ce que tu seras connecté parce que je n'y arriverai pas sans ton aide....
Marsh Posté le 07-03-2005 à 16:27:41
ake a écrit : est ce que je peux faire ca demain matin ou est ce que si j'arrete l'ordinateur toute la procédure sera à refaire? |
Les fichiers qui ont été détruis le resteront.
Le plus simple, demain sera de recontrôler le tout et détruire ce qu'il reste de malwares.
si Dieu le veut, je serais online demain après midi vers 16h, mais il y a beaucoup de personnes compétentes sur ce forum prêtes à t'aider
À demain
Marsh Posté le 08-03-2005 à 12:17:38
salut pow wow
je t'envoies le rapport du dernier scan, il n'y a rien d'infecté et pourtant l'alerte de Norton s'affiche toujours...
Scan started at 08/03/2005 11:23:30
Scanning memory...
Scanning boot sectors...
Scanning files...
Scanned
============================
Objects: 65220
Directories: 3596
Archives: 1148
Size(Kb): -991046
Infected files: 0
Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 81
Marsh Posté le 08-03-2005 à 12:43:55
cette fois ci dans l'alerte le nom de l'objet est C:\WINDOWS\gcasServ.exe
est ce que je dois le supprimer?
Marsh Posté le 08-03-2005 à 15:29:03
ake a écrit : cette fois ci dans l'alerte le nom de l'objet est C:\WINDOWS\gcasServ.exe |
Non ne supprime pas, c'est l'antispyware de Microsoft.
RAV n'a rien trouvé, donc on va dire que c'est bon.
Par acquis de conscience fais encore ce scan (même procédure que pour RAV):
Panda
autorise l'installation du contrôle activeX, avec les options de sécurité par défaut. Pour appliquer ces paramètres :
-Ouvrir Internet Explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".
-Ouvrir Internet Explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".
Colle le rapport dans une réponse sur le forum
Marsh Posté le 08-03-2005 à 15:32:36
est ce qu'il faut que je coche desinfection automatique dans panda?
Marsh Posté le 08-03-2005 à 16:17:50
j'ai dejà fait ce scan sur les conseils de quelqu'un d'autre sans la cocher et il y a des fichiers infectés mais impossible d'avoir le rapport détaillé
d'ailleurs tout le monde n'a pas l'air d'accord sur les fichiers à supprimer...en tous cas j'espère que ca va marcher..
Marsh Posté le 08-03-2005 à 17:51:50
ake a écrit : est ce qu'il faut que je coche desinfection automatique dans panda? |
Tu peux le faire, si tu crains d'effacer un fichier utile laisse la décochée.
À la fin du scan, Panda te propose de choisir un profil clique sur OK puis sur la page qui s'ouvre "consulter le rapport".
Copie et colle le dans une réponse du forum
Marsh Posté le 09-03-2005 à 14:15:00
le scan est terminé, il y a 54 fichiers infectés mais Panda ne me propose pas de choisir un profil dc impossible d'accéder au rapport détaillé. je devrais peut etre refaire le scan en sélectionnant l'option désinfection automatique?
Marsh Posté le 09-03-2005 à 15:46:06
ake a écrit : le scan est terminé, il y a 54 fichiers infectés mais Panda ne me propose pas de choisir un profil dc impossible d'accéder au rapport détaillé. je devrais peut etre refaire le scan en sélectionnant l'option désinfection automatique? |
Bizzare, moi il me le propose.
Fais le scan avec désinfection.
Marsh Posté le 09-03-2005 à 16:41:54
j'ai refait le scan, seuls 4 fichiers sur 54 ont été désinfectés et toujours pas d'accès au rapport détaillé...
il y a un autre moyen de trouver ces fichiers?
Marsh Posté le 09-03-2005 à 16:49:37
ake a écrit : j'ai refait le scan, seuls 4 fichiers sur 54 ont été désinfectés et toujours pas d'accès au rapport détaillé... |
Fait le scan ICI
Marsh Posté le 09-03-2005 à 17:03:30
c'est beaucoup plus rapide que les autres...
visiblement il a trouvé des trucs et supprimé certains mais je ne sais pas ce que c'est.
Voici le rapport final :
What we checked:
Whether personal information was tracked and reported by spyware. Spyware is often installed secretly with legitimate programs downloaded from the Internet.
Results:
We have detected 19 spyware(s) on your computer: 14 spyware(s) removed, 3 spyware(s) unremovable, 0 spyware(s) passed.
Spyware Name Spyware Type Action taken
ADW_MIWAY.A Adware Unremovable
COOKIE_281 Cookie Removal successful
COOKIE_611 Cookie Removal successful
COOKIE_1020 Cookie Removal successful
COOKIE_1134 Cookie Removal successful
COOKIE_1543 Cookie Removal successful
COOKIE_1727 Cookie Removal successful
COOKIE_2798 Cookie Removal successful
COOKIE_2994 Cookie Removal successful
COOKIE_3081 Cookie Removal successful
DIAL_CARPEDIEM.A Dialer Removal successful
COOKIE_3195 Cookie Removal successful
ADW_BADBITOR.A Adware Removal successful
DIAL_FEMME.A Dialer Unknown
DIAL_GETNASTY.A Dialer Removal successful
DIAL_TIBS.H Dialer Unremovable
ADW_IPSENTRY.A Adware Removal successful
DIAL_RAS.AS Dialer Unremovable
SPYW_TIBROWSER.A Spyware Unknown
Marsh Posté le 09-03-2005 à 17:25:53
j'ai utilisé ad-aware et l'antispy de microsoft.
j'essaierai celui que tu me conseille en espérant que ca se termine parce que après 3 jours passés là dessus, ça commence à etre long...
au fait, qu'est ce qu'il était censé trouver à part des spys?
Marsh Posté le 09-03-2005 à 17:32:14
ake a écrit : j'ai utilisé ad-aware et l'antispy de microsoft. |
Virus, trojans, vers etc...
Marsh Posté le 10-03-2005 à 11:38:06
salut!
j'ai finalement refait un scan avec Panda mais je l'ai arrêté avant la fin et cette fois-ci il m'a proposé de voir l'analyse. Apparemment un logiciel espion a été détecté mais j'ai l'impression que c'est Ad aware. Voici le rapport, est ce que je dois supprimer tous ces fichiers?
Incident Statut Analyse
Adware:Adware/Lop No Désinfecté c:\docume~1\anne-m~1\locals~1\temp\jvsfoyia.exe
Adware:Adware/MyWay No Désinfecté C:\ProgramFiles\MyWay
Adware:Adware/IPInsight No Désinfecté C:\WINDOWS\inf\farmmext.inf
Spyware:Spyware/Altnet No Désinfecté RegistreWindows
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\ApplicationData\litemeowmpegbold\1SUPPORT.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\AllUsers\ApplicationData\litemeowmpegbold\4 Road.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\litemeowmpegbold\bib scr.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\litemeowmpegbold\browse log.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\litemeowmpegbold\BuildDefault.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\litemeowmpegbold\CLOCKFIND.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\litemeowmpegbold\DEBUGRECT.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\litemeowmpegbold\frag hide.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\litemeowmpegbold\glue hold.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\litemeowmpegbold\skipstupid.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\litemeowmpegbold\stop wipe.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\litemeowmpegbold\Third play.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\litemeowmpegbold\Vga Multi.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\aeccjuoh.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\edlmjjtl.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\gzaxulum.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\iqilgnqz.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\Iso Bike Dash The.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\kclwlfht.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\mamlzrkg.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\oljdufki.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\ooqvqpev.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\Proc Seek.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\qhdgxwut.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\rtxhgsnd.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\rzkeggyd.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\uifmgxhu.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\wksrhtvd.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\wqcirfuj.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\yegkljbo.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Jumpamokbib\ynpbwuhg.exe
Adware:Adware/Lop No Désinfecté C:\Documents and Settings\Anne-Marie\Application Data\Size 01\16THIRD.exe
Marsh Posté le 10-03-2005 à 14:36:29
slt!
es tu connecté au net derriere un pare feu?
sinon il est peut etre possible qu'a peine supprimés les pbs reviennent...
je te conseille de supprimer norton et d'installer avast, au moins le temps de la desinfection.Norton n'arrive de toute facon pas a les supprimer, apparement, et avec un peu de chance avast enpechera leur reinstallation.
une question : as tu lancé la protection temps réel de ms anti spy, elle pourrait peut etre prevenir le retour de certains de ces éléments...
Marsh Posté le 11-03-2005 à 08:24:53
Si Lop est installé sur ta machine, il serait intéressantd'avoir un log HJT.
1) Télécharge:
HijackThis
2) Mets le fichier HijackThis.exe dans un dossier spécial, par exemple C:\HijackThis.
3) Double-clique sur HijackThis.exe.
4) Lance l'analyse en cliquant sur "Do a system scan and save a logfile".
5) Une fois l'analyse terminée,fais un copier/coller du rapport sur le forum, sans rien faire d'autre !!!
Marsh Posté le 11-03-2005 à 08:25:10
Si Lop est installé sur ta machine, il serait intéressant d'avoir un log HJT.
1) Télécharge:
HijackThis
2) Mets le fichier HijackThis.exe dans un dossier spécial, par exemple C:\HijackThis.
3) Double-clique sur HijackThis.exe.
4) Lance l'analyse en cliquant sur "Do a system scan and save a logfile".
5) Une fois l'analyse terminée,fais un copier/coller du rapport sur le forum, sans rien faire d'autre !!!
Marsh Posté le 11-03-2005 à 09:57:38
trop tard, j'ai déjà supprimé certains des fichiers manuellement, j'espère que j'ai pas fait de conneries!!!
Voici quand meme le log :
Logfile of HijackThis v1.99.1
Scan saved at 09:55:40, on 11/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ANNE-M~1\LOCALS~1\Temp\Rar$EX15.751\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.mxlsmbogeyxtt.com/DtbHd [...] GL5hYa.cgi
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [MpegBoldOwnsPlatform] C:\Documents and Settings\All Users\Application Data\litemeowmpegbold\bib scr.exe
O4 - HKLM\..\Run: [MsnExplorer] C:\WINDOWS\shch.exe /i
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\qttasks.exe /i
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [roam wma] C:\DOCUME~1\ANNE-M~1\APPLIC~1\JUMPAM~1\Proc Seek.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C670BBB8-C68C-48D9-B0E4-F0D780CBC06A}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Marsh Posté le 11-03-2005 à 10:01:46
Télécharge et lance cet uninstall:
http://lop.com/help.html#uninstall
Si SpyBot ou un autre logiciel de sécurité t'empêche de le faire (message de sécurité):
-IE->outils->options internet->sécurité
-Sites sensibles : enlève Lop.com
-Télécharge le fichier
-Remets Lop.com en site sensible
-Lance le fichier.
Redémarre. Poste un nouvel HijackThis.
Marsh Posté le 11-03-2005 à 10:12:23
je sais pas si j'ai lancé le bon programme
nouveau log :
Logfile of HijackThis v1.99.1
Scan saved at 10:11:12, on 11/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ANNE-M~1\LOCALS~1\Temp\Rar$EX00.933\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [MsnExplorer] C:\WINDOWS\shch.exe /i
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\qttasks.exe /i
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C670BBB8-C68C-48D9-B0E4-F0D780CBC06A}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Marsh Posté le 11-03-2005 à 10:22:40
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
Lance Hijackthis, coche et fixe les lignes suivantes:
O4 - HKLM\..\Run: [MsnExplorer] C:\WINDOWS\shch.exe /i
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\qttasks.exe /i
Toujours en mode sans echec, supprime les dossiers/fichiers en gras
C:\WINDOWS\qttasks.exe /i
C:\WINDOWS\shch.exe /i
Vide la corbeille
Reboot en mode normal et poste un nouveau log.
Marsh Posté le 11-03-2005 à 10:43:41
les fichiers qttasks.exe /i et shch.exe /i ne sont pas dans WINDOWS
Logfile of HijackThis v1.99.1
Scan saved at 10:41:40, on 11/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ANNE-M~1\LOCALS~1\Temp\Rar$EX00.173\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C670BBB8-C68C-48D9-B0E4-F0D780CBC06A}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Marsh Posté le 07-03-2005 à 13:20:41
bonjour à tous
j'ai un problème de virus que Norton ne peut pas supprimer. Voilà l'alerte qu'il donne :
nom de lobjet : C:\WINDOWS\shch.exe
nom du virus : Downloader.Trojan
Action : laccès au fichier est refusé
En plus quand je fais une analyse avec Norton il trouve 2 fichiers infectés : gcasServ.exe et shch.exe et ne peut pas les réparer
est ce que quelqu'un aurait une solution pour que je m'en débarrasse