Votre question

Virus : Trojan-PSW.Win32.Nilage.arg

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
18 Avril 2007 22:56:54

Bonjour,

Voila, j'ai ce virus et je n'arrive pas à le virer.
J'ai kaspersky anti-virus 6.0

Ce virus coupe mon son à chaque fois, et je suis obliger de le réinstaller avec le cd de la carte mère, à chaque fois que je vais sur IE. Le virus est : Trojan-PSW.Win32.Nilage.arg

J'ai ceci :

Merci de votre aide

Autres pages sur : virus trojan psw win32 nilage arg

18 Avril 2007 23:02:34

bonsoir

tu as l'emplacement du trojan?

~ Télécharge HijackThis
http://www.merijn.org/files/hijackthis.zip ;
~Crée un "nouveau dossier" dédié à Hijackthis (c:\Hijackthis\),dézippe Hijackthis.exe dans ce répertoire
~Lance Hijackthis.exe "do a system scan & save log file",et fais un copier coller du rapport généré dans ton prochain post.


18 Avril 2007 23:04:39

Merci.

Wahou, sa à été vite.

Sa ma dit ceci :

Logfile of HijackThis v1.99.1
Scan saved at 23:08:56, on 18/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\MYweb4net\MYweb4net.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [VoipStunt] "C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Contenus similaires
18 Avril 2007 23:11:47

ok :) 

~ Télécharge Killbox et installe-le sur ton bureau.
http://www.downloads.subratam.org/KillBox.zip
~Copie le texte ci-dessous (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

Citation :
C:\Program Files\Microsoft\svhost32.exe



~Ouvre Killbox:
~Clique sur le menu "File" de KillBox (en haut à gauche) et choisis l'option « Paste from clipboard ».
~Sous "Full Path Of File To Delete" les fichiers viennent de s'inscrire: il faut t'en assurer en cliquant sur la petite flèche à droite!
~Coche les cases : "Delete on Reboot"
~Une fois le bouton radio "Delete on Reboot" coché, la case "Single File" va clignoter: clique sur la case "All Files".
~Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher:
Citation:

« File will be Removed on Reboot, Do you want to reboot now ? » : répondre YES Le PC va redémarrer et supprimer le fichier de la liste. Sinon redémarre manuellement.

~Une fois que tu auras redémarré, relance Killbox. Clique sur Menu "File" /"Logs" /"Actions History Log". Poste-nous ce rapport.

Tuto Killbox
http://perso.orange.fr/jesses/Docs/Logiciels/KillBox.ht...

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement :clique sur Démarrer / arrêter / redémarrer l'ordinateur.

18 Avril 2007 23:24:44

Voila, ceci a donner cela :

Pocket Killbox version 2.0.0.648
Running on Windows XP as Administrateur(Administrator)
was started @ mercredi, avril 18, 2007, 11:24 PM

# 1 [Delete on Reboot]
Path = C:\Program Files\Microsoft\svhost32.exe


I Rebooted @ 11:27:04 PM
Killbox Closed(Exit) @ 11:27:06 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as Administrateur(Administrator)
was started @ mercredi, avril 18, 2007, 11:28 PM
18 Avril 2007 23:26:44

parfait

~Fais une analyse antivirus en ligne sur le site de Kaspersky
http://webscanner.kaspersky.fr/

~ Clique sur Online Scanner.
~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

~Sélectionne le poste de travail comme analyse.

~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.
Tuto en image : http://support.kaspersky.fr/admin/u2Files/Image/webscan...

19 Avril 2007 00:05:46

Cella à mis du temps ^^.

Thursday, April 19, 2007 12:09:23 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 18/04/2007
Enregistrements dans la base antivirus Kaspersky : 281722


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
F:\

Statistiques de l'analyse
Total d'objets analysés 31963
Nombre de virus trouvés 0
Nombre d'objets infectés 0 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:29:12

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\Administrateur\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Temp\Perflib_Perfdata_720.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Temp\~DF98F6.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\02b7_File_Monitoring_eventlog.rpt L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\02ba_Web_Monitoring_eventlog.rpt L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\detected.idx L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\detected.rpt L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\eventlog.rpt L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\report.rpt L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{7039B56D-FB9F-415C-BB4F-51D4F8119A45}\RP24\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\fidbox2.dat L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\fidbox2.idx L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\~DFC7CD.tmp L'objet est verrouillé ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

Analyse terminée.

Voila ;-). J'éspère que c'est positif.
19 Avril 2007 09:10:19

bonjour,
tu as encore des soucis?

reposte un nouveau log hijackthis stp
19 Avril 2007 19:46:14

Bonjour,

Bah j'ai juste un problmèe, je sais pas si c'est lier, mais dès que je vais sous exploreur (myweb4net) mon son ce met à 0 (image ci-dessous)




Le log :

Logfile of HijackThis v1.99.1
Scan saved at 19:48:45, on 19/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MYweb4net\MYweb4net.exe
C:\Program Files\Microsoft\svhost32.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [VoipStunt] "C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe



Merci
19 Avril 2007 20:43:29

bonsoir,
l'infection semble être revenue...

1

vérifie que le fichier en gras est bien là:
C:\Program Files\Microsoft\svhost32.exe

si présent:

Analyse ce fichier


Sur le site de virustotal
http://www.virustotal.com/en/virustotalx.html
Clique ensuite sur Send
poste-nous le rapport.



Note :
Citation :
Pour afficher les dossiers et fichiers cachés du système:
Panneau de configuration/Options des dossiers/onglet Affichage/cocher Afficher les fichiers et dossiers cachés, décocher Masquer les extensions de fichiers connus, décocher Masquer les fichiers protégés du Système.

Les fichiers et dossiers cachés du système apparaissent alors dans l'explorateur Windows en transparence.





2

~Télécharge. F-Secure Blacklight

https://europe.f-secure.com/exclude/blacklight/fsbl.exe


- Lance F-Secure Blacklight (fichier fsbl.exe)
- Accepte la licence, et clique enfin sur "Scan" puis Next et Exit.
- Un rapport fsbl-bxxxx.log (xx sont des chiffres) va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log , fais un copier/coller dans ton prochain message.

Attention ! .
Il ne faut pas choisir l'option "Rename". de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe .
Tuto de F-Secure BlackLight : (merci à Malekal) .
http://www.malekal.com/tutorial_f-secure_BlackLight.htm...


19 Avril 2007 21:29:08

Merci ^^

Voila l'étape 1 :




Et l'étape 2 :

04/19/07 21:29:58 [Info]: BlackLight Engine 1.0.61 initialized
04/19/07 21:29:58 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/19/07 21:29:58 [Note]: 7019 4
04/19/07 21:29:58 [Note]: 7005 0
04/19/07 21:30:07 [Note]: 7006 0
04/19/07 21:30:07 [Note]: 7011 1492
04/19/07 21:30:07 [Note]: 7026 0
04/19/07 21:30:07 [Note]: 7026 0
04/19/07 21:30:09 [Note]: FSRAW library version 1.7.1021
04/19/07 21:31:01 [Note]: 7007 0

Merci :D 
19 Avril 2007 21:29:12

Merci ^^

Voila l'étape 1 :




Et l'étape 2 :

04/19/07 21:29:58 [Info]: BlackLight Engine 1.0.61 initialized
04/19/07 21:29:58 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/19/07 21:29:58 [Note]: 7019 4
04/19/07 21:29:58 [Note]: 7005 0
04/19/07 21:30:07 [Note]: 7006 0
04/19/07 21:30:07 [Note]: 7011 1492
04/19/07 21:30:07 [Note]: 7026 0
04/19/07 21:30:07 [Note]: 7026 0
04/19/07 21:30:09 [Note]: FSRAW library version 1.7.1021
04/19/07 21:31:01 [Note]: 7007 0

Merci :D 
19 Avril 2007 21:53:07

ok,
on est face à une nouvelle infection donc je vais te demander un petit service:
Tu vas envoyer ce fichier à un développeur de logiciels. cela lui permettra d'étudier plus précisemment la bêbête.
après on le détruira.

voilà la procédure:

Télécharge Suspicious file Packer (de Safe-Networking.Org) pour le dézipper sur ton Bureau.

http://www.safer-networking.org/files/sfp.zip


Redémarre en mode sans échec
http://forum.telecharger.com/index.php?forum=telecharge...


Démarre SFP.exe
Sélectionne l'emplacement suivant :

C:\Program Files\Microsoft\svhost32.exe

---> Clique-droit puis Copier

Retourne sur SFP.exe, fais un Clique-droit sur le cadre puis choisis Coller.
Clique maintenant sur Continue

Cela va créer un fichier .cab sur ton Bureau nommé requested-files[Date/Heure]
Fais un Clique-Droit sur ce fichier, clique sur Envoyer vers puis sélectionne Dossier compressé.
Cela va créer un fichier .zip du même nom. Clique-Droit sur ce fichier / Explorer / Fichier / Ajouter un mot de passe...
Nomme ce mot de passe malware.
Redémarre normalement pour envoyer ce fichier à cette adresse :

AndyManchesta(at)hotmail.com ( Remplace (at) par @ )

Supprime maintenant les fichier .zip et .cab qui se trouvent sur ton Bureau.

+++++++++++++++++++++++++++++++++
Après que tu ais fais ça:

~Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.
~Sélectionne TOUS les emplacements suivants :


C:\Program Files\Microsoft\svhost32.exe

---> Clique-droit puis Copier
~Double-clique sur OTMoveIt.exe afin de le lancer.
fais un Clique-droit sur le cadre de gauche puis choisis Coller.
~Clique maintenant sur [#ff0000]MoveIt![/#f]

!! Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES

~Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport est la date de sa création.
20 Avril 2007 01:02:22

C:\Program Files\Microsoft\svhost32.exe moved successfully.

Created on 04/20/2007 01:05:16


Voila. C'est sa le rapport à poster.
20 Avril 2007 08:49:18

bonjour,
oui c'est ça

tu as envoyé le fichier à Andy Manchesta?

reposte un log hijackthis stp
20 Avril 2007 11:08:56

J'ai encore ce virus que mon anti virus detecte toute les 30 sc mais ne fait rien, même quand je dis "supprimer" il reviens.

Logfile of HijackThis v1.99.1
Scan saved at 11:12:58, on 20/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MYweb4net\MYweb4net.exe
C:\Program Files\Winamp\winamp.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [VoipStunt] "C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

20 Avril 2007 12:00:21

bonjour,
Citation :
tu as envoyé le fichier à Andy Manchesta?

ce sera très utile, il va probablement l'intégrer à son outil de désinfection.
20 Avril 2007 13:10:25

1-
affiche tes dossiers cachés comme je te l'ai expliqué et regarde ce qui il y a dans le dossier:
C:\Program Files\Microsoft<<<-- exactement ce nom de dossier car il ne semble pas légitime.

2-
Refais un scan avec blacklight et poste le rapport.

ne t'inquiètes pas, on trouvera la solution pour supprimer cette infection. Il existe un outil très puissant mais je préfére tout essayer avant de te le faire utiliser. (sur recommandations du dévellopeur).
20 Avril 2007 16:19:54

Oui, j'ai envoyez le fichier à l'email dis.
Sinon, il n'y a aucun lien pour le logiciel blacklight au dessus.

Et aussi, j'aimerai savoir, si il y aurai un bon firewall free ou payant. Car zonealarme, c'est de la vrai m*** :s.

Merci ;-)
20 Avril 2007 16:26:41

ok
tu as regardé dans le dossier microsoft?
Citation :
1-
affiche tes dossiers cachés comme je te l'ai expliqué et regarde ce qui il y a dans le dossier:
C:\Program Files\Microsoft<<<-- exactement ce nom de dossier car il ne semble pas légitime.



pour blacklight, tu as déjà l'outil sur ton pc...
je te redonne la procédure si tu as supprimé le programme:

~Télécharge. F-Secure Blacklight

https://europe.f-secure.com/exclude/blacklight/fsbl.exe


- Lance F-Secure Blacklight (fichier fsbl.exe)
- Accepte la licence, et clique enfin sur "Scan" puis Next et Exit.
- Un rapport fsbl-bxxxx.log (xx sont des chiffres) va être créé dans le même dossier que blbeta.exe
- Ouvre fsbl-bxxxx.log , fais un copier/coller dans ton prochain message.

Attention ! .
Il ne faut pas choisir l'option "Rename". de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe .
Tuto de F-Secure BlackLight : (merci à Malekal) .
http://www.malekal.com/tutorial_f-secure_BlackLight.htm...

pour le pare feu:
Le pare-feu :Kerio que tu peux télécharger ici
http://www.sunbelt-software.com/evaluation/440/kerio.ex...

Tuto pour Kerio : http://www.malekal.com/kerio_firewall.php

20 Avril 2007 16:57:53

Oui j'avais oublier, il y a toujours le dossier, et même pas en caché ^^.

Voila le scan :

04/20/07 17:00:25 [Info]: BlackLight Engine 1.0.61 initialized
04/20/07 17:00:25 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/20/07 17:00:26 [Note]: 7019 4
04/20/07 17:00:26 [Note]: 7005 0
04/20/07 17:00:28 [Note]: 7006 0
04/20/07 17:00:28 [Note]: 7011 1512
04/20/07 17:00:28 [Note]: 7026 0
04/20/07 17:00:28 [Note]: 7026 0
04/20/07 17:00:30 [Note]: FSRAW library version 1.7.1021
04/20/07 17:02:22 [Note]: 7007 0
20 Avril 2007 17:09:36

Citation :
Oui j'avais oublier, il y a toujours le dossier, et même pas en caché

tu ne réponds pas à la question :) 
dans le dossier en gras:
C:\Program Files\Microsoft

il y a le fichier:
svhost32.exe

y en a-t-il d'autres? car sinon on supprime directement le dossier
20 Avril 2007 20:36:00

Oui, il n'y a que ça.
Je suprime normalement ??
20 Avril 2007 20:40:21

nan, on va supprimer directement le dossier, tu mets ce texte dans OTMoveIt.

C:\Program Files\Microsoft


tu fais la manip,

tu reboot, puis tu postes le rapport avec un nouveau log hijackthis
20 Avril 2007 21:24:55

bonsoir,
Angeldark va reprendre ton sujet car je vais être absent cette semaine. (il est au courant)
si le fichier est toujours présent, il te fera utiliser un outil puissant qui marchera.
:hello: 
a b 8 Sécurité
20 Avril 2007 21:27:13

Bonsoir,

Reposte un rapport Hijackthis.
21 Avril 2007 10:30:51

Ok pas de soucis. Merci.

Salut Angeldark ^^.
J'ai eu un autre problème, j'ai reboot mon pc, window voulais plus démarrer, fichier c:/window/system introuvable ou endommagé. J'ai réglé sa, mais c'est assez lourd.
Kaspersky est-il un bon anti virus ??

Voila le rapport :

Logfile of HijackThis v1.99.1
Scan saved at 10:33:55, on 21/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\MYweb4net\MYweb4net.exe
C:\Program Files\Winamp\winamp.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [VoipStunt] "C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe



Merci
a b 8 Sécurité
21 Avril 2007 11:14:32

Le dossier n'est pas là :/ 

Tu as toujours des problèmes ?
21 Avril 2007 12:52:30

Oui, je viens de me refaire attaquer. J'ai installé kerio. Et au bout d'un certain temps, quand je vais sur le net, sa bloque l'accès, car le virus ce lance si je vais sur le net.

Donc, toujours là.

Serai possible, vu que j'ai deux pc en réseau, qu'il sois sur l'autre pc et revienne tout le temps ??.
a b 8 Sécurité
21 Avril 2007 12:55:52

Citation :
Serai possible, vu que j'ai deux pc en réseau, qu'il sois sur l'autre pc et revienne tout le temps ??.

Pas forcément. Tu as ce dossier ?
C:\Program Files\Microsoft

Quel est ton problème exactement ?
21 Avril 2007 13:35:46

Pour le PC du bas, plus de soucis, je vais le remettre à 0. Sa ne lui fera pas de mal. Bah en faite, sa mettez le son du PC au minimum, mais se ma l'air de ne plus le faire.
Donc, j'attend ce weekend, histoire de voir comment sa se passe, et je viendrai dire si ya une soucis dimanche ou lundi ou si c'est réglé.

Merci ;-)
a b 8 Sécurité
21 Avril 2007 14:03:14

Ok.
23 Avril 2007 00:32:42

Bonsoir.

J'ai donc laisser le weekend passer.
Mais j'ai toujours le même problème. Il continue à m'attaquer.
J'ai pu les PC en réseau, donc, cela ne viens pas de la. Le fichier microsfot et revenue, et maintenant l'attaque est :



Un petit scan :

Logfile of HijackThis v1.99.1
Scan saved at 00:37:06, on 23/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\MYweb4net\MYweb4net.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [VoipStunt] "C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe



:s. Il perciste.

Merci
a b 8 Sécurité
23 Avril 2007 18:23:29

Tu peux faire une recherche de ce fichier ?
23 Avril 2007 19:25:29

svchost est trouvé dans : C:\WINDOWS\system32\svchost.exe

Mais aucun svchost33 trouvé
a b 8 Sécurité
23 Avril 2007 20:02:41

Une recherche sur svhost32.exe :) 
24 Avril 2007 02:31:17

J'ai fait recherche de : svhost32
dans tout post de travail sa ma donné comme d'hab :
c:\program file\Microsoft\svhost32.exe
24 Avril 2007 16:20:18

Avant c'étais : Trojan-PSW.Win32.Nilage. arg

Maintenant j'ai sa :



Un autre trojan ??

merci
a b 8 Sécurité
24 Avril 2007 18:17:52

Tu peux supprimer le dossier Microsoft (dans Program Files) en mode sans échec ?
24 Avril 2007 18:38:03

Oui.
Mais je croix que je sais d'ou viens le problème.
Je reçois se message à chaque fois que je vais sur ce site : **pas de lien de ce genre sur le forum**
Cela viens surment de la bas non ?
a b 8 Sécurité
24 Avril 2007 18:59:22

Peut être. Mais supprime le dossier :D 
24 Avril 2007 20:31:25

Ok, je vais voir si il revient ensuite
25 Avril 2007 16:31:50

Bah il reviens à chaque fois. :s
a b 8 Sécurité
25 Avril 2007 21:52:36

Reposte un rapport Hijackthis.
26 Avril 2007 22:41:41

Solution plus radicale ! J'ai formaté le lecteur C. Bon, sa va me prendre une heure à tout ré-installer, mais bon, c'est plus simple.
Merci beaucoup pour ton aide. ;-).
a b 8 Sécurité
27 Avril 2007 13:04:35

Dommage...
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS