hello
 
j ai un trojan qui se ballade ds mon pc et je n arrive pas a l enlever.
il s est logé ds le system 32 de windows edlm2.exe.
j ai essayer de l enlever en mode normal mais sans succes car a chaque redemarage il reapparait de nouveau.
j ai desactiver la resto systeme et voulu passer en mode sans echec  et c la que j ai un souci car mse se charge se plante et me fait redemarrer mon pc.
j ai voulu essayer de faire une reparation a l aide du  cd d install pour reparer le beug du mse, mais je suis bloquer a c:windows/system car je ne sais pas quelle application lancer pour effectuer la reparation.
si quelqu un peut m aider .
merci

Bonjour a tous.
 
-Télécharge la dernière version de Killbox ici=>
 
http://www.downloads.subratam.org/KillBox.zip
 
-Redémarre en mode sans échec pour ne pas être gêné par un résident.
 
-Lance Pocketkillbox,choisis l'option Delete on reboot
 
Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :
 
C:\WINDOWS\SYSTEM32\edlm2.exe
 
-Cliquer sur la croix blanche sur fond rouge:
 
« File will be Deleted on Next Reboot » répondre OUI
« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI
 
* Télécharge et installe HijackThis :
 
http://telechargement.zebulon.fr/li[...]ense-1-160.html
 
* Fermez toutes las applications en cours sauf Hijackthis.
 
* Lance Hijackthis [ le logo avec la dynamite ]
 
* Choisir scanner disque et sauvegarder le log
 
* Le bloc - note s'ouvrira puis faire un copier - coller de tout le contenu du bloc note ici.

re  
je peus pas passer en mode sans echec le pc charge une parti du mode et s arrete  sur press echap sptd sys et il reboot  alors du coup je l ai fai en mode normal.
je t envoi le resultat du scan avec hijackthis
 
Logfile of HijackThis v1.99.1
Scan saved at 16:14:12, on 06/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Razer\razerhid.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Razer\razertra.exe
C:\Program Files\Razer\razerofa.exe
C:\Documents and Settings\Franck's\Mes documents\logiciel\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\razerhid.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: sloader64 - C:\WINDOWS\SYSTEM32\sloader64.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
 
 
 

Bonjour a tous,
 
* Télécharger et installer :
 
- Ewido http://www.ewido.net/fr/download/
* Durant l'installation
* Sur la page Additional Options
* Décoche Install background guardet et Install scan via context menu
* Lance Ewido Security Suite. Clique sur Mise à jour mais ne t'en serts pas tout de suite.
 
* S'assurer que tout les fichiers soient la :
 
 - Autorise l'affichage des fichiers et dossiers cachés
 - Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
 - Cocher Afficher les Fichiers et dossiers cachés
 - Décocher Masquer les fichiers protégés du système d'exploitation (recommandé)
 - Décocher Masquer les extensions dont le type est connu
 - Clique sur Appliquer et Ok pour valider les changements
 
*  Redémarrez votre PC en mode sans échec [ http://www.sosordi.net/Faq/Faq.2.html ] [color=red] Impératif [/color] !!!
 
* Enlever les lignes nefastes :
 
Relancez  HijackThis et cliquez sur Scan only  puis cochez les lignes [ si presentes ] en gras ci-dessous :  
 
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab  
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab  
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab  
 
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll  
O20 - Winlogon Notify: sloader64 -C:\WINDOWS\SYSTEM32\sloader64.dll
 
Fermez toutes les applications en cours sauf HijackThis et faites Fixed checked .
 
* Supprimez les mauvais fichiers :
 
Supprimez les fichiers/dossiers incriminés en gras ci dessous [ s'ils sont presents ] en suivant le chemin d'acces.
 
C:\WINDOWS\SYSTEM32\ ldr64.dll <= Le fichier
C:\WINDOWS\SYSTEM32\ sloader64.dll <= Le fichier
 
* Faire un scan avec Ewido
* Clique sur Scanner et choisir Scan complet du système
* Si des fichiers infectés sont trouvés, toujours les supprimer
* Le scan fini, sauver le rapport et le postez ici.
 
* Voir les resultats de la manipulation :
 
Redémarrez l'ordinateur en mode normal et postez un nouveau rapport HijackThis à titre  vérificatif ainsi que le rapport d'Ewido

hello  
a priori ca a fonctionner , le seul souci c que je suis passer en mode normal pour faire toutes les aplication qui on été cité ci desssus, car le mode  sans echec ne fonctionne pas .
j appuie pour tant sur f8 il commence a se charger  car je vois apparaitre un tas de fichier en bas de l ecran et il s arrete sur press esc to cancel loading sptd.sys .
la je ne fait rien et il redemarre automatiquement .
si tu peu m aider a resoudre se bleme.
merci.
Logfile of HijackThis v1.99.1
Scan saved at 12:36:04, on 07/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Razer\razerhid.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Razer\razertra.exe
C:\Program Files\Razer\razerofa.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Franck's\Mes documents\logiciel\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\razerhid.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
 
--------------------------------------------------------
 ewido anti-malware - Rapport de scan
---------------------------------------------------------
 
 + Créé le:  13:06:47, 07/05/2006
 + Somme de contrôle: 6DCA50DE
 
 + Résultats du scan:
 
 Pas de fichiers infectés trouvés!
 
 
::Fin du rapport
 

Bonjour.
 
Tu utilises bien un ordinateur HP ??

non pas du tout j ai une carte mere gigabytes k8n9 ultra .j ai juste mon imprimantes qui est de la marque hp.
pourquoi ?

Je te pose cette question car je crois que l'entree est mode sans echec est differente avec cette marque.
 
Sinon as tu encore des problemes ??
 
* Fais un scan en ligne avec Panda : http://www.pandasoftware.com/activ [...] ncipal.htm
 
Apres, collez le rapport ici.

j ai toujours le meme bleme  je suis aller ds msconfig est passer en mode demarage normal est tjrs pareil, impossible de passer en mode sans echec.
je te file le rapport de panda.
 
 
Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                          
 
Spyware:Cookie/Falkag                                                           No Désinfecté                 C:\Documents and Settings\Franck's\Cookies\franck's@as-eu.falkag[2].txt                                                                                                                                                                                          
Spyware:Cookie/Bluestreak                                                       No Désinfecté                 C:\Documents and Settings\Franck's\Cookies\franck's@bluestreak[2].txt                                                                                                                                                                                            
Spyware:Cookie/Tradedoubler                                                     No Désinfecté                 C:\Documents and Settings\Franck's\Cookies\franck's@tradedoubler[2].txt                                                                                                                                                                                          
Spyware:Cookie/Weborama                                                         No Désinfecté                 C:\Documents and Settings\Franck's\Cookies\franck's@weborama[2].txt                                                                                                                                                                                              
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\Franck's\Cookies\franck's@xiti[1].txt                                                                                                                                                                                                  

re  
bon a priori tous les trojan  ont ete detruit .
merci pour ton aide .
as tu une solution pour ce qui est du mode sans echec?
je ne sais pas pourquoi il ne marche plus.
et peux tu me donner un peu plus  d explication sur le fonctionnement du logiciel hijackthis et comment savoir lorsque des trojan ou autre navigue ds mon systeme.
merci

* Pour ce qui est du mode sans echec, veux tu decrire ce qui se passe exactement stp.
 
* Concernant Hijackthis et son fonctionnement, je te conseille de lire ce site : http://gerard.melone.free.fr/IT/IT-HJT.html#0
 
* Pour savoir si tu as des trojans, fais au moins une fois toutes les 2 semaines un scan avec ton antivirus puis un scan en ligne.

hello  
 
desolé d avoir mis  longtemps pour te repondre, mais j ai eu des galere avec mon mode sans echec.
 je suis allé modifier le boot.ini  ds  le msconfig pour pouvoir demarrer en mode sans echec, j ai donc valider le mode safeboot.
mais le probleme vu que mon mode sans echec ne demarrer pas, lorsque j ai rebooté mon pc, il commenca a lancer windows, a faire apparaitre le logo xp et comme d habitude il bloque et ensuite il redemarre le pc.
le souci c que la je ne pouvait plus modifier le mode de demarage .
j ai essayer de reparer a laide du cd  xp  et de modifier le chemin de demarage mais sans succes il ne voyait plus que le chemin que j ai modifier par default.
du coup pas le choix j ai du formater.
alors voila .
mais je me demande encore comment ca se fait que je ne pouvait plus demarrzer en mode sans echec?
alors que cela fonctionner tres bien avant .
en tout cas merci pour ton aide et pour le lien que tu m as filer.
a+

Bonjour.
 
De rien pour l'aide mais qu'as tu exactement lorsque tu tentes d'acceder au mode sans echec ??

re  
je vais t expliquer ce qui s est passer avant la modif du boot ini et apres la modif.
 
sans la modification  du boot.ini j appuyer  sur f8 pour passer en mode sans  echec, je choisi le mse j ai droit au chargement et au defilement des pilotes en bas de l ecran  et apres ca plante.
 
apres la modif boot.ini
je demarrai l ordi , donc je me retrouve devant le bios  ensuite j arrivai devant le logo  xp, ca charger pendant 10s et apres ca rebooté. ensuite le pc redemarre et me dit que windows a mal demarrer  et il me propose plusieur choix(mode sans echec, demarrer windows normalement  etc etc...) j ai tout essayé  ce qui me proposer  mais sans resulat.j avias tjrs droit au  logo  xp et a se fameux chargement  de 10s et apres  sa plantait.
 
voila en gros toute l histoire.
j ai pourtant pas eu le souvenir d avoir virer une parti important de windows.
j utilise souvent regcleaner pour nettyer la base de registre ainsi que defragmenter mon disk dur  mais je ne pense que sa puisse provenir de ca.
vraiment c etait bizzare.
j espere que  j ai été clair ds mes explications .
 
a + tchao
 

Bonjour.
 
* Telecharge et installe CCleaner :
 
http://www.ccleaner.com/ccdownload.asp
 
Puis suis ce tutorial :  
 
http://perso.wanadoo.fr/jesses/Doc [...] leaner.htm