Se connecter / S'enregistrer
Votre question

Fichier très récalcitrant ! (résolu)

Tags :
  • Fonds d'écran
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Avril 2008 18:44:33

Bonjour,
Je suis nouvelle, pas pro en informatique et j"ai un problème !
Voilà: depuis quelques jours j'ai un fichier qui me pose des problèmes.
Il se nomme tps1 et se trouve sur c.
Ce fichier a la particularité de se nourrir d'images en tout genre :p hotos perso, images internet, images de films, fonds d'écran, et même photos supprimées depuis des années de mon ordi.
J'ai réussi après plusieurs tentatives à le supprimer ainsi que son contenu avec le mode sans échec ou la création d'un autre fichier ayant le même nom.
Le souci c'est que quelques minutes après sa suppression, il revient et recommence son gavage jusqu'a que mon disque dur soit plein.
Je ne sais plus quoi faire, merci de m'aider.

Autres pages sur : fichier tres recalcitrant resolu

28 Avril 2008 19:06:32

C'est peux être un virus ou une connerie comme ca :/ 
Va voir dans Sécurité/Virus, si ils ne trouvent rien, reviens ici ;) .
28 Avril 2008 19:11:21

Ben j'ai l'impression que c'est un genre de programme qui disjonte. Mon anti virus n'a rien détecté.
J'ai essayé de trouver des solutions sur le forum mais j'ai rien trouvé.
J'ai aussi essayé de télécharger Unlocker mais ça ne marche pas.
Bouh, snif j'en ai marre !!!!
Contenus similaires
28 Avril 2008 19:12:25

Salut,
quelle est la nature et l'extension de ce fichier (un dossier...)
tu dis il se nourri mais c a d (il supprime?déplace?des fichiers)?
il revient a chaque boot du pc?
28 Avril 2008 19:34:15

La nature ? euh c'est un fichier tout simple.
Il se nourrit, cad qu'il va chercher partout des images et il les stocke jusqu'a que le disque soit plein. Là il en a récupéré environ 16 000 pour un espace de 11Go, ce qui me prend tout mon espace.
Il revient tout le temps. Boot ? c'est le rallumage de l'ordi ?
Y'a pas besoin de rallumer pour qu'il revienne.
C'est une vrai m....!
28 Avril 2008 19:49:34

moi je ferais les choses suivantes:
nettoyage avec spybot du pc
nettoyage avec ad-aware du pc
nettoyage avec ccleaner (base de registre) une fois le dossier supprimer (avant qu'il réapparaisse si possible)
lancer un scan avec hijack this 2.0 est poster le log
28 Avril 2008 19:59:24

J'ai téléchargé Ad-aware, il a analysé le pc et puis comme l'ordi était plein, il a dû tout arrêté. Impossible donc de l'utiliser.
Ccleaner, je l'ai fait mais avant d'avoir supprimé le dossier.
Les scan sont impossibles puisque les images, fichiers jpg, fichier web se rajoutent en permanence.
Et là j'ai réessayé de supprimer mon fichier glouton et il veut plus.
J'ai téléchargé S Delete pour voir. Je dois d'abord essayer de supprimer ce ficher.
28 Avril 2008 20:12:28

Bonjour,
tout d'abord as-tu essayé de le supprimer en mode sans échec.
Pourrait tu nous donner le nom du dossier ou fichier que tu souhaite supprimer ? Car je n'ai pas très bien compris, tu parlais de fichiers "se nourrissant d'images...", c'est un dossier ?
Donne nous le chemin d'accès de l'objet en question.
Exemple: C:\dossier1\dossier

Sinon comme le dit F@bien27, je pencherais plutôt sur une infection car ton un dossier glouton, ça ne tombe pas du ciel.

Postes un rapport HijackThis (aide : http://www.infos-du-net.com/forum/271838-11-tuto-utilis... )

A+
28 Avril 2008 20:21:30

mon "dossier" ou je ne sais pas quoi se nomme c:/tps1. Et il stocke des milliers d'images jpg prises dans mes dossiers, sur les sites que je consulte, des films que je télécharge, de photos supprimées depuis des années, des fonds d'écran bref de tout.
Là je fais comme Couguar m'a conseillé, je fais d'abord le spybot, il est en train et apparemment il trouve des spywares.
Après je ferai le rapport hijack, faut que je lise l'aide parce que je sais pas ce que sais !!

28 Avril 2008 20:24:10

Grrr pourquoi j'ai un smiley qui s'est mis là ??
Donc le nom du dossier est c:/tps1.
28 Avril 2008 21:00:59

c'est bizarre ton dossier ce comporte comme un fichier batch pour sauvegarder des photos dans un répertoire unique on dirais!
Tu n'as rien fais pour vouloir ça je suppose?

hijack this devrait nous en apprendre plus
28 Avril 2008 21:06:21

je commencerai par demarrer le mode console, puis killer explorer.exe (ainsi que tous les autres processus non necessaires par la meme occasion) ensuite depuis la console tu te diriges vers ce fichiers et tu le supprime.

En vitesse tu lances ccleaner pour nettoyer la BDR et un petit coup de spybot par la meme occasion.

ensuite, teste plusieurs AV en ligne si ton AV n'a rien trouvé.

Si le probleme persiste... poste dans securité/virus avec un log hijackthis.



edit: eventuellement, peut etre que ça peut le ralentir: passe les fichiers contenant tes images et autres fichiers utilisés par ce vilain en lecture seule en prenant soin à ce que le paramètre soit herité.
28 Avril 2008 21:21:37

C'est du chinois pour moi mais si vous pouvez m'aider c'est youpi !!!!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:18:56, on 28/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\ftp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {011592DF-4B00-02DF-32C7-24F9FCF685FA} - C:\WINDOWS\system32\vzm.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1401D137-04B7-416A-DEDD-35F8BC1DC7A8} - C:\WINDOWS\system32\fctlm.dll (file missing)
O2 - BHO: (no name) - {43467384-F004-B0D1-32E2-C3E7AD1298AC} - C:\WINDOWS\system32\dkszpcf.dll (file missing)
O2 - BHO: (no name) - {442D4D37-CAE0-8B33-DB5F-AD31C0A7C7A8} - C:\WINDOWS\system32\eapjvgcv.dll (file missing)
O2 - BHO: (no name) - {444FAA1A-7AC4-6E1E-F14B-4C3FA176C9A7} - C:\WINDOWS\system32\lvjvpnhe.dll (file missing)
O2 - BHO: (no name) - {45F51E5F-93DF-D105-E1AC-A7D11EC6CBF2} - C:\WINDOWS\system32\qozblon.dll (file missing)
O2 - BHO: (no name) - {4983A680-2A5F-618D-6BCA-140A63CBC7F7} - C:\WINDOWS\system32\mlwej.dll (file missing)
O2 - BHO: (no name) - {4B6BF84E-29CD-3946-A243-1C0A83D1C2F0} - C:\WINDOWS\system32\jiciil.dll (file missing)
O2 - BHO: Toolbar Wanadoo - {4E7BD74F-2B8D-469E-8FB0-B921F5DBF922} - C:\PROGRA~1\WANADO~2\WANADO~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {859862AF-E17C-A4AB-17B4-D35676BF05F5} - C:\WINDOWS\system32\xyb.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9B1F5E66-CF8D-C607-A2DC-B6DEBDB305C0} - C:\WINDOWS\system32\goglecip.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {AC2364E9-B66C-A5EF-07D4-85B3C85572A8} - C:\WINDOWS\system32\ivqprct.dll (file missing)
O2 - BHO: (no name) - {B9272044-F997-B010-FEDE-952291A564FD} - C:\WINDOWS\system32\rqagsovm.dll (file missing)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {C196AFB1-2E66-6FBA-5304-18FA7D384AF3} - C:\WINDOWS\system32\mfxgz.dll (file missing)
O2 - BHO: (no name) - {C299B137-62E7-7662-8F9D-543E70EB41A4} - C:\WINDOWS\system32\biuprcr.dll (file missing)
O2 - BHO: (no name) - {C41ADC4D-5893-494E-F27E-6FBDA9E041FA} - C:\WINDOWS\system32\wfqabys.dll (file missing)
O2 - BHO: (no name) - {CAE8696D-BEEE-F46A-D528-8F73545F4EF6} - C:\WINDOWS\system32\ceygxwd.dll (file missing)
O2 - BHO: (no name) - {DAFCFA52-7CD9-6652-B0BC-430F13BD51A4} - C:\WINDOWS\system32\kdj.dll (file missing)
O2 - BHO: (no name) - {FC8124B6-AD63-B7B2-5534-CB3731FC27F6} - C:\WINDOWS\system32\uarqm.dll (file missing)
O2 - BHO: (no name) - {FFA43F6D-E7E4-A130-8199-D4E61DAD76A5} - C:\WINDOWS\system32\xkzrkexh.dll (file missing)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: Toolbar Wanadoo - {4E7BD74F-2B8D-469E-8FB0-B921F5DBF922} - C:\PROGRA~1\WANADO~2\WANADO~1.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Znjf] C:\WINDOWS\system32\MDTC~1.EXE
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: wintp.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\AIM.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O20 - AppInit_DLLs:
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE

--
End of file - 12265 bytes
28 Avril 2008 21:25:06

je ne suis pas un pro de la desinfection, mais MYBAR.DLL est un malware.
28 Avril 2008 21:28:17

Pastigo, je ne suis pas du tout une pro de l'informatique et là tes conseils, j'y pige rien.
Expliques moi les démarches à suivre étape par étape en m'indiquant où il faut que j'aille.
Merci beaucoup.
28 Avril 2008 21:29:59

Et faut que je fasse quoi alors ?
Y' a des logiciels qui supprime les malware ?
28 Avril 2008 21:30:20

si tu n'as aucune experience dans les commandes MS-DOS oublie ce que j'ai dit.

Je te conseille fortement de poster dans la section securité/virus où tu trouveras des personnes tres performantes concernant les desinfections.




edit: j'ai oublié que c'etait mon rôle de deplacer les sujets dans les bonnes sections. :) 
je le fais de suite.
28 Avril 2008 21:37:01

Merci et à bientôt.
28 Avril 2008 21:48:32

Coucou les spécialistes en virus en tout genre.
J'ai un truc pas mal pour vous, il s'appelle tps1 et il est très très glouton.
D'après Pastigo, c'est un malware.
Je suis pas du tout un pro alors j'ai vraiment besoin de vous pour me virer définitivement ce truc qui me rend dingue !!!
28 Avril 2008 21:58:35

Pastigo a raison.
Infection de type CWS. :) 

Je t'invite à suivre le super tuto de Malekal:
http://www.malekal.com/tutorial_aboutbuster.php


#Ensuite ,télécharges et installes :
Killbox de Option^Explicit

Sélectionnes entièrement la liste ci-dessous:
C:\WINDOWS\system32\MDTC~1.EXE


---> et tu fais clic droit / copier

Ouvres killbox
- Sélectionne "delete on reboot"
- Clique sur le menu "File" -> "Past from clip board"
- Clique sur All Files
- Clique sur la croix rouge et et blanche
- Répond yes et laisse redémarrer ton pc.
N'hésite pas à consulter l'aide

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

#Relance HijackThis, coche ces lignes :

O2 - BHO: (no name) - {011592DF-4B00-02DF-32C7-24F9FCF685FA} - C:\WINDOWS\system32\vzm.dll (file missing)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O2 - BHO: (no name) - {1401D137-04B7-416A-DEDD-35F8BC1DC7A8} - C:\WINDOWS\system32\fctlm.dll (file missing)
O2 - BHO: (no name) - {43467384-F004-B0D1-32E2-C3E7AD1298AC} - C:\WINDOWS\system32\dkszpcf.dll (file missing)
O2 - BHO: (no name) - {442D4D37-CAE0-8B33-DB5F-AD31C0A7C7A8} - C:\WINDOWS\system32\eapjvgcv.dll (file missing)
O2 - BHO: (no name) - {444FAA1A-7AC4-6E1E-F14B-4C3FA176C9A7} - C:\WINDOWS\system32\lvjvpnhe.dll (file missing)
O2 - BHO: (no name) - {45F51E5F-93DF-D105-E1AC-A7D11EC6CBF2} - C:\WINDOWS\system32\qozblon.dll (file missing)
O2 - BHO: (no name) - {4983A680-2A5F-618D-6BCA-140A63CBC7F7} - C:\WINDOWS\system32\mlwej.dll (file missing)
O2 - BHO: (no name) - {4B6BF84E-29CD-3946-A243-1C0A83D1C2F0} - C:\WINDOWS\system32\jiciil.dll (file missing)
O2 - BHO: (no name) - {859862AF-E17C-A4AB-17B4-D35676BF05F5} - C:\WINDOWS\system32\xyb.dll (file missing)
O2 - BHO: (no name) - {9B1F5E66-CF8D-C607-A2DC-B6DEBDB305C0} - C:\WINDOWS\system32\goglecip.dll (file missing)
O2 - BHO: (no name) - {AC2364E9-B66C-A5EF-07D4-85B3C85572A8} - C:\WINDOWS\system32\ivqprct.dll (file missing)
O2 - BHO: (no name) - {B9272044-F997-B010-FEDE-952291A564FD} - C:\WINDOWS\system32\rqagsovm.dll (file missing)
O2 - BHO: (no name) - {C196AFB1-2E66-6FBA-5304-18FA7D384AF3} - C:\WINDOWS\system32\mfxgz.dll (file missing)
O2 - BHO: (no name) - {C299B137-62E7-7662-8F9D-543E70EB41A4} - C:\WINDOWS\system32\biuprcr.dll (file missing)
O2 - BHO: (no name) - {C41ADC4D-5893-494E-F27E-6FBDA9E041FA} - C:\WINDOWS\system32\wfqabys.dll (file missing)
O2 - BHO: (no name) - {CAE8696D-BEEE-F46A-D528-8F73545F4EF6} - C:\WINDOWS\system32\ceygxwd.dll (file missing)
O2 - BHO: (no name) - {DAFCFA52-7CD9-6652-B0BC-430F13BD51A4} - C:\WINDOWS\system32\kdj.dll (file missing)
O2 - BHO: (no name) - {FC8124B6-AD63-B7B2-5534-CB3731FC27F6} - C:\WINDOWS\system32\uarqm.dll (file missing)
O2 - BHO: (no name) - {FFA43F6D-E7E4-A130-8199-D4E61DAD76A5} - C:\WINDOWS\system32\xkzrkexh.dll (file missing)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKCU\..\Run: [Znjf] C:\WINDOWS\system32\MDTC~1.EXE
O4 - Global Startup: wintp.exe
O20 - AppInit_DLLs:


Puis cliques sur le bouton Fix Checked


#Après redémarrage, relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log
Poste le rapport ici
Fais un nouveau scan HijackThis et poste son nouveau rapport
Poste aussi le rapport (fichier Ab LogFile.Txt) de About Buster

A toute
28 Avril 2008 22:05:56

Wouah merci.
Bon va me falloir la nuit pour tout comprendre et j'espère arriver à faire tout ça mais si ça marche ben c'est cool.
En tout cas je vais changer d'antivirus.
Question avant de commencer ta procédure : je suis en train de faire spybot et il a trouvé un problème nommé myway mybar. Est ce que je dois le laisser continuer, l'arrêter, supprimer les 40 fichiers qui le contiennent ?
28 Avril 2008 22:10:32

Et bien termine le scan avant de commencer la procédure.
Les fichiers détectés par Spybot sont normalement mis en quarantaine quand tu cliques sur "Corriger tous les problèmes" à la fin du scanner.
28 Avril 2008 23:31:04

Bon j'ai fait le tuto de malekal, le résultat du scan est :aucun fichier détecté.

Le scan de Spybot a mis en quarantaine beaucoup de fichiers dont ceux intitulés myway my bar. Ca n'a rien changé à mon pb.

Et puis j'ai fait une pause et là je vais me coucher parce que je n'en peux plus et je ferai demain ta procédure.

Bonne nuit.
29 Avril 2008 11:27:00

Salut,
Bon alors j'ai fait la procédure prescrite par Akred et voici les résultats.
Je n'ai pas pu cocher toutes les lignes puisqu'elles n'y étaient pas toutes.
L'ordi a mis en quarantaine les fichiers cochés.

Rapport Killbox:

Pocket Killbox version 2.0.0.881
Running on Windows XP as Pascal(Administrator)
was started @ mardi, avril 29, 2008, 11:07 AM

# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\MDTC~1.EXE


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:09:19 AM
Killbox Closed(Exit) @ 11:09:29 AM
__________________________________________________

Pocket Killbox version 2.0.0.881
Running on Windows XP as Pascal(Administrator)
was started @ mardi, avril 29, 2008, 11:21 AM

Rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:25:47, on 29/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Toolbar Wanadoo - {4E7BD74F-2B8D-469E-8FB0-B921F5DBF922} - C:\PROGRA~1\WANADO~2\WANADO~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Toolbar Wanadoo - {4E7BD74F-2B8D-469E-8FB0-B921F5DBF922} - C:\PROGRA~1\WANADO~2\WANADO~1.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\AIM.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE

--
End of file - 9866 bytes
29 Avril 2008 12:03:13

Je vais pas crier victoire tout de suite mais pour le moment mon fichier glouton n'est pas revenu ce qui est bon signe.
29 Avril 2008 13:18:47

Ben maintenant je crie Victoire !!!!!!!!!!!!!!!
Merci à tous et surtout à Akred. Pour te remercier je suis allée sur ton site. Bon perso c'est pas mon dada tout ça mais bon ...
Je croyais pas arriver à éliminer cette sale bestiole. J'aimerai savoir comment je l'ai chopé quand même.
En tout cas un grand merci.
29 Avril 2008 13:34:35

Bonjour,
et bien je te félicite pour ta persévérance :) 

Le fichier responsable est selon moi celui-ci:
C:\WINDOWS\system32\MDTC~1.EXE

Ajoute maintenant [Résolu] au titre. Pour cela :
* Clique, dans ton premier message, sur le bouton "Editer"
* Rajoute la mention [Résolu] au titre
* Clique ensuite sur "Valider votre message"

Supprime tous les programmes installés pour la désinfection (tu peux garder Spybot si tu le souhaites)

Un lien intéressant pour éviter de nouvelles infections:

http://www.malekal.com/fichiers/projetantimalwares/prev...

@+ :hello: 
Anonyme
13 Mai 2009 15:23:21

Salut à tous. J'ai un gros soucis moi aussi avec ce dossier, mais je suis incapable de le faire moi même. Serait il possible de m'expliquer le procéder pour le supprimer ?
Anonyme
14 Mai 2009 10:07:21

aider moi svp j'en peu plus de ce ficher :( 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS