FORUM high-tech

|-  » PANNES ET ERREURS COURANTES

||-  Questions techniques

|||-  

Un virus "!readme.exe" très tenace

 

Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

Un virus "!readme.exe" très tenace

Prévenir les modérateurs en cas d'abus 
TBSoft
DisneyFan !
  1. homepage
tbsoft
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 06/08/2004 à 14:23:26  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour à tous,
 
 Depuis quelques temps, des fichiers cachés "!readme.exe" se sont disséminés dans quelques dossiers précis de mon disque dur (Mes Documents, partition D:, EMule Incoming, etc.). Si mon antivirus a réussi à supprimer ces fichiers, ceux-ci se réinstallent au redémarrage de mon PC. Je ne sais pas si cela a un rapport, mais lorsque j'ai ouvert ma session WinXP ce matin, une fenêtre "Install wizard" ou un truc dans le genre s'est affichée quelques instants, alors que jusqu'à maintenant il n'en était rien.
 
 De plus, j'ai remarqué depuis peu deux processus "wupdater.exe" et "SahAgent.exe" ouverts dès le démarrage (il sont d'ailleurs présents dans MSConfig). Mon antivirus a remarqué la présence d'un virus dans le dossier abritant le premier programme (je l'ai supprimé), cela a peut-être un rapport. Les deux programme sont toujours actif.
 
 Merci d'avance pour votre aide.
 
 T.B.

Ego Eimi
acrobaze
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 06/08/2004 à 14:33:17  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Télécharger "HijackThis" sur:
 
 http://www.spywareinfo.com/~merijn/downloads.html
 ou
 http://www.lurkhere.com/~nicefiles/index.html
 
 -Le poser dans un dossier spécialement créé pour lui (par exemple:
 C:\HijackThis ).
 -Le lancer -> "Scan" -> "Save log"
 -Récupérer ce log/texte avec le bloc notes.
 -Le copier/coller ici, dans une réponse,sans rien faire d'autre.
 
 


---------------
Pour le plaisir du texte. Safety mod >>>HERE<<< Fier parrain de Bibine5 !
DisneyFan !
  1. homepage
tbsoft
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 06/08/2004 à 19:45:40  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Voici le fichier :
 
 Logfile of HijackThis v1.98.0
 Scan saved at 20:44:08, on 06/08/2004
 Platform: Windows XP SP1 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\WINDOWS\Nhksrv.exe
 C:\WINDOWS\System32\nvsvc32.ex​e
 C:\WINDOWS\System32\SLEE401.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\Program Files\RealVNC\WinVNC\WinVNC.ex​e
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\DELLMMKB.EXE
 C:\Program Files\Fichiers communs\Real\Update_OB\realsch​ed.exe
 C:\Program Files\Messenger Plus! 3\MsgPlus.exe
 C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
 C:\Program Files\Common files\updater\wupdater.exe
 C:\WINDOWS\System32\SahAgent.e​xe
 C:\WINDOWS\System32\rundll32.e​xe
 C:\WINDOWS\System32\ctfmon.exe
 C:\WINDOWS\System32\RUNDLL32.E​XE
 C:\Program Files\SuperCopier\SuperCopier.​exe
 C:\Program Files\Steganos Security Suite 5\safe.exe
 C:\Program Files\Netropa\OSD.exe
 C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
 C:\Program Files\MSN Messenger\msnmsgr.exe
 C:\Program Files\Internet Explorer\iexplore.exe
 C:\Program Files\Xi\Net Transport\NetTransport.exe
 C:\Documents and Settings\Thomas\Mes documents\HiJackThis_Last.exe
 
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page_bak = about:blank
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB16​8A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFI​N~1.DLL (file missing)
 O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.​209 sitefinder.verisign.com
 O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A​44296DA} - C:\WINDOWS\System32\ATPART~1.D​LL (file missing)
 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelpe​r.dll
 O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E01​8981B9E} - C:\Program Files\NewDotNet\newdotnet6_30.​dll
 O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB16​8A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFI​N~1.DLL (file missing)
 O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF105​77473F7} - c:\program files\google\googletoolbar1.dl​l
 O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868​B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
 O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C​9082467} - C:\WINDOWS\System32\msdxm.ocx
 O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-00902​7A5CD4F} - c:\program files\google\googletoolbar1.dl​l
 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,​NvStartup
 O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE
 O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.​exe
 O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.ex​e" -servicehelper
 O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsch​ed.exe" -osboot
 O4 - HKLM\..\Run: [OfficeGuardUI] C:\WINDOWS\System32\svcss.exe
 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
 O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
 O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe" -autorun
 O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
 O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.e​xe
 O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.​DLL,NewDotNetStartup -s
 O4 - HKLM\..\Run: [CheckMedi8or] C:\Program Files\Mediator 7 Pro\CheckNewUser.exe
 O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Bi​naries\MSConfig.exe /auto
 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
 O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.D​LL,NvTaskbarInit
 O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.​exe
 O4 - HKCU\..\Run: [SSS5SAFE] "C:\Program Files\Steganos Security Suite 5\safe.exe" /booting
 O4 - HKCU\..\Run: [DynSite] C:\Program Files\DynSite for Windows\DynSite.exe
 O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adob​e Gamma Loader.exe
 O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
 O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
 O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dl​l/cmsearch.html
 O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dl​l/cmbacklinks.html
 O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dl​l/cmcache.html
 O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dl​l/cmsimilar.html
 O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36​D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEB​ar.dll
 O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36​D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEB​ar.dll
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\MSMSGS.EXE
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\MSMSGS.EXE
 O10 - Hijacked Internet access by New.Net
 O12 - Plugin for .UVR: %programfiles%\Internet Explorer\Plugins\NPUPano.dll
 O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138E​A171B49} (FileSharingCtrl Class) - http://appdirectory.messenger. [...] ngctrl.cab
 O16 - DPF: {62475759-9E84-458E-A1AB-5D2C4​42ADFDE} - http://a1540.g.akamai.net/7/15 [...] taller.exe
 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04​F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840 [...] scan53.cab
 O16 - DPF: {A3009861-330C-4E10-822B-39D16​EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
 O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6A​F4DE1BD} - http://download.abacast.com/do [...] tup145.cab
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{99223C80-2301-4343-B469-4​3E25D85A5FA}: NameServer = 213.228.0.23 212.27.32.176
 
 Merci d'avance.
 
 T.B.

Ego Eimi
acrobaze
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 06/08/2004 à 19:57:56  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB16​8A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFI​N~1.DLL (file missing)  
 O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A​44296DA} - C:\WINDOWS\System32\ATPART~1.D​LL (file missing)  
 O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB16​8A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFI​N~1.DLL (file missing)  
 O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe  
 O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.e​xe  
 O4 - HKLM\..\Run: [OfficeGuardUI] C:\WINDOWS\System32\svcss.exe  
 
 Ferme tous les programmes, y compris internet explorer.
 Lance HijackThis. Coche ces lignes et clique "Fix".
 
 ----------
 Redémarre en mode sans échec (en tapotant F8 au démarrage).
 Assure-toi que tu as accès aux fichiers cachés.
 (explorateur windows->outils->options des dossiers->affichage
 ""Afficher les fichiers cachés"->coché
 "Masquer les extensions.."->décoché)
 
 Et supprime:
 C:\PROGRAM FILES\INCRED...<-dossier
 C:\Program Files\Common files\updater<-dossier
 C:\WINDOWS\System32\SahAgent.e​xe <-fichier
 C:\WINDOWS\System32\svcss.exe <-fichier
 
 Vide la corbeille. Redémarre.
 
 ------------------------------​-----
 
 Comme il est question de virus, tu peux faire ceci en plus:
 
 Antivirus en ligne :
 
 http://www.ravantivirus.com/scan/
 
 Cliquer sur : To continue without subscribing click here
 
 Le laisser charger ses ActiveX ( Une dizaine de minutes). Lorsque "ready" est affiché dans "status"
 cocher "Autoclean", puis cliquer "Scan my PC".
 
 A la fin de l'analyse, copier/coller le rapport ici.


---------------
Pour le plaisir du texte. Safety mod >>>HERE<<< Fier parrain de Bibine5 !
DisneyFan !
  1. homepage
tbsoft
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 06/08/2004 à 22:10:44  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Voilà, j'ai exécuté toutes les opérations indiquées. Bizarrement, certains des fichiers à supprimer l'étaient déjà après reboot de ma machine. Il faut dire que j'ai "joué au malin", je n'ai pas redémarré en mode sans échecs (je ne parviens jamais à appuyer sur F8 au bon moment) mais j'ai manuellement désactivé les programmes au démarrage grâce à l'excellent utilitaire "CodeStuff Starter". Tout semble correct maintenant. En ce qui concerne l'antivirus, j'en ai fait un hier sur RAV, et justement il m'avait signalé les fichiers "!Readme.exe" comme infectés, mais aucun autre. Dois-je pour autant refaire une analyse ? Je tiens à préciser que, au démarrage, ce fameux fichier à la base de mon inquiétude ne se re-développe plus. Normalement, tout est donc rentré dans l'ordre.
 
 Il faudra qu'on m'apprenne comment exploiter les logs de HijackThis, car ce n'est pas la première fois qu'on me le fait utiliser pour venir à bout de petites pestes du Net, et je ne veux plus déranger la communauté de MH pour pas grand chose.
 
 J'attends des éventuelles instructions supplémentaires. Merci beaucoup.
 
 T.B.

DisneyFan !
  1. homepage
tbsoft
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 06/08/2004 à 22:11:51  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Au fait, est-ce un problème sur le forum ou autre chose, mais le bouton "Répondre" semble avoir disparu. C'est pénible, on est obligé de taper une "réponse rapide" !
 
 T.B.

Ego Eimi
acrobaze
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 06/08/2004 à 22:16:03  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
L'analyse RAV, c'était pour vérifier justement s'il n'y avait plus de ces fichiers "!Readme.exe" pour éventuellement les supprimer.
 
 HijackThis, c'est tout un art!  ;)


---------------
Pour le plaisir du texte. Safety mod >>>HERE<<< Fier parrain de Bibine5 !
Cha⭐️gement 2020
  1. config
labbaipierre
Respect éternel (Au-delà de 100 000 messages postés) Expert Google Chrome Expert Android
  1. Posté le 06/08/2004 à 22:17:42  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 

acrobaze a écrit :

L'analyse RAV, c'était pour vérifier justement s'il n'y avait plus de ces fichiers "!Readme.exe" pour éventuellement les supprimer.
 
 HijackThis, c'est tout un art!  ;)



 
 Art, que tu maîtrises parfaitement. ;)
 
 Il y a 3 boutons répondre, fais ton choix :D


---------------
♦ Les chseos les puls smipels snot soevnut les puls cmopqliueés...

Spécialiste de l'accompagnement aux outils numériques
Restez informé sur les nouvelles technologies via la Page Facebook de MonAssistantNumérique
Ego Eimi
acrobaze
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 06/08/2004 à 22:20:25  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 

Labbaipierre a écrit :

Art, que tu maîtrises parfaitement. ;)
 
 Il y a 3 boutons répondre, fais ton choix :D



 
 :lol:  Et en plus, c'est top secret! :na:


---------------
Pour le plaisir du texte. Safety mod >>>HERE<<< Fier parrain de Bibine5 !
DisneyFan !
  1. homepage
tbsoft
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 06/08/2004 à 22:27:32  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
C'est moi ou le bouton "Répondre" en bas n'était pas là il y a quelques minutes ? Non, plus sérieusement je n'ai plus de bouton "Répondre" en haut des posts, mais maintenant il est en bas. Ça a changé depuis quelques semaines ?
 
 Je confirme que tu maîtrises cet art à la perfection, mais est-ce vraiment top-secret ? Je voudrais moi aussi faire profiter les autres de cette incroyable richesse.
 
 T.B.

Cha⭐️gement 2020
  1. config
labbaipierre
Respect éternel (Au-delà de 100 000 messages postés) Expert Google Chrome Expert Android
  1. Posté le 06/08/2004 à 22:31:16  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Une réponse peut se faire par ce bouton là :
 
 quote
 
 Effectivement, on est passé à la version 9 du forum.
 
 Hijackthis est trés/trop dangereux.


---------------
♦ Les chseos les puls smipels snot soevnut les puls cmopqliueés...

Spécialiste de l'accompagnement aux outils numériques
Restez informé sur les nouvelles technologies via la Page Facebook de MonAssistantNumérique
Ego Eimi
acrobaze
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 06/08/2004 à 22:32:56  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Ben si, "répondre" est tjrs là...????
 
 Il y a très peu de doc sur l'utilisation d'HijackThis. Par exemple ceci :
 http://hjt.wizardsofwebsites.com/
 
 C'est principalement par l'observation d'abord, puis l'expérience que l'on apprend à l'utiliser.


---------------
Pour le plaisir du texte. Safety mod >>>HERE<<< Fier parrain de Bibine5 !
DisneyFan !
  1. homepage
tbsoft
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 06/08/2004 à 22:35:39  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
OK, je me ferais à ces boutons "Répondre". Je vous remercie tous pour votre aide. Je vous invite à aller faire un tour sur les deux sites signalés ci-dessous et à me dire ce que vous en pensez.
 
 @+++ et merci encore.
 
 T.B.

Ego Eimi
acrobaze
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 06/08/2004 à 22:49:56  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
 
 Oui, je vais les visiter!
 
 A+ TBSoft!  


---------------
Pour le plaisir du texte. Safety mod >>>HERE<<< Fier parrain de Bibine5 !
DisneyFan !
  1. homepage
tbsoft
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 06/08/2004 à 23:08:04  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
A titre d'info, le sujet sur mes sites web vient d'être lancé à l'adresse http://forum.telecharger.com/i [...] &subcat=0.
 
 A bientôt.
 
 T.B.

DisneyFan !
  1. homepage
tbsoft
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 23/08/2004 à 22:31:03  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir,
 
 Décidément il est vraiment tenace ce !ReadMe.exe. En effet, il vient de réapparaître sur mon disque dur. Je pense que c'est suite à l'installation de programmes divers par des collègues - que je me suis empressé de désinstaller -, ou alors c'est lié à un mail que j'ai reçu car Outlook m'a demandé d'installer un composant que je n'ai jamais demandé (je n'en connais même pas le nom !).
 
 Pour aller vite, je vous poste tout de suite mon HiJackThis, mais si vous avez des astuces pour éviter le retour du fichier, aidez-moi !
 
 Log HiJackThis :
 
 
Logfile of HijackThis v1.98.0
 Scan saved at 23:31:15, on 23/08/2004
 Platform: Windows XP SP1 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\WINDOWS\Nhksrv.exe
 C:\WINDOWS\system32\crypserv.e​xe
 C:\WINDOWS\System32\nvsvc32.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\Program Files\RealVNC\WinVNC\WinVNC.ex​e
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\DELLMMKB.EXE
 C:\Program Files\Fichiers communs\Real\Update_OB\realsch​ed.exe
 C:\Program Files\Messenger Plus! 3\MsgPlus.exe
 C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
 C:\WINDOWS\System32\rundll32.e​xe
 C:\WINDOWS\System32\ctfmon.exe
 C:\WINDOWS\System32\RUNDLL32.E​XE
 C:\Program Files\SuperCopier\SuperCopier.​exe
 C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
 C:\Program Files\Netropa\OSD.exe
 C:\Program Files\MSN Messenger\msnmsgr.exe
 C:\WINDOWS\System32\msiexec.ex​e
 C:\Program Files\Internet Explorer\iexplore.exe
 D:\Installateurs\HiJackThis_La​st.exe
 
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page_bak = about:blank
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.​209 sitefinder.verisign.com
 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelpe​r.dll
 O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E01​8981B9E} - C:\Program Files\NewDotNet\newdotnet6_30.​dll
 O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF105​77473F7} - c:\program files\google\googletoolbar2.dl​l
 O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868​B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll
 O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C​9082467} - C:\WINDOWS\System32\msdxm.ocx
 O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-00902​7A5CD4F} - c:\program files\google\googletoolbar2.dl​l
 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,​NvStartup
 O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE
 O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.​exe
 O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.ex​e" -servicehelper
 O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsch​ed.exe" -osboot
 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
 O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
 O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe" -autorun
 O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.​DLL,NewDotNetStartup -s
 O4 - HKLM\..\Run: [CheckMedi8or] C:\Program Files\Mediator 7 Pro\CheckNewUser.exe
 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
 O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.D​LL,NvTaskbarInit
 O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.​exe
 O4 - HKCU\..\Run: [SSS5SAFE] "C:\Program Files\Steganos Security Suite 5\safe.exe" /booting
 O4 - HKCU\..\Run: [DynSite] C:\Program Files\DynSite for Windows\DynSite.exe
 O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adob​e Gamma Loader.exe
 O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
 O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dl​l/cmsearch.html
 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFF​ICE11\EXCEL.EXE/3000
 O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dl​l/cmbacklinks.html
 O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dl​l/cmsimilar.html
 O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dl​l/cmcache.html
 O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36​D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEB​ar.dll
 O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36​D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEB​ar.dll
 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C5​71A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\​REFIEBAR.DLL
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\MSMSGS.EXE
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\MSMSGS.EXE
 O10 - Hijacked Internet access by New.Net
 O12 - Plugin for .UVR: %programfiles%\Internet Explorer\Plugins\NPUPano.dll
 O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138E​A171B49} (FileSharingCtrl Class) - http://appdirectory.messenger. [...] ngctrl.cab
 O16 - DPF: {62475759-9E84-458E-A1AB-5D2C4​42ADFDE} - http://a1540.g.akamai.net/7/15 [...] taller.exe
 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04​F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840 [...] scan53.cab
 O16 - DPF: {A3009861-330C-4E10-822B-39D16​EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
 O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6A​F4DE1BD} - http://download.abacast.com/do [...] tup145.cab
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{99223C80-2301-4343-B469-4​3E25D85A5FA}: NameServer = 213.228.0.212 212.27.32.177

 
 Merci d'avance.
 
 T.B.

DisneyFan !
  1. homepage
tbsoft
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 24/08/2004 à 23:20:35  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Personne n'est-il là pour m'aider ? A l'aide ! Je quitte ce mercredi mon PC pour 15 jours et je voudrais le laisser "propre" à ma famille.
 
 Merci d'avance.
 
 T.B.

 Page :
1

Aller à :
 

Sujets relatifs
Trojan downloader.win32.keenval.f tenace !!!!!!!!!!!!!!! Comment supprimer le Virus: HTML/CodeBaseExec*
VIRUS BACKDOOR.AGENT.B SUR WINDOW 2000 Besoin de renseignements sur mail avec virus
virus indésirable sécurité très haut débit
virus ! Readme.exe  
Plus de sujets relatifs à : Un virus "!readme.exe" très tenace

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
Attaques MS_RPC_DCOM_Heap_BO 5
c est quoi BVRPOIr.exe? 8
tag <iframe> 4
backdoor.agent.b sur window 2000 3
trojan java/dummy.c et java/byteverify 3