Tom's Guide > Forum > Sécurité - Virus > Intell32 persistant

Intell32 persistant

Forum Sécurité - Virus : Intell32 persistant

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
fredmunich   29-09-2005 à 08:45:26

Bonjour,

J'ai du mal a supprimer Intell32 et psguard et certainement d'autres choses.
Si quelqu'un a le temps de regarder mon log se serait super.
Merci d'avance. A signaler que je suis sur W ME donc Smitfraud Fix ne fonctionne pas.

Logfile of HijackThis v1.99.1
Scan saved at 08:33:25, on 29.09.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\SITECOM EUROPE BV\SITECOM WL-113 UTILITY\SITECOMUSB.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [cFosInst_Check] C:\WINDOWS\OEMCFOS2\CFOSINST.EXE -install -loud
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - HKLM\..\RunServices: [avast!] C:\Programme\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [NBJ] "C:\PROGRAMME\AHEAD\NERO BACKITUP\NBJ.EXE"
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O8 - Extra context menu item: Recherche &Google - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Pages similaires - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Pages liées - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://webmail.hartehanks.co.uk/iNotes.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/ga [...] /ht1_x.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab





Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
OmaR   29-09-2005 à 13:55:57
- 0 +

Salut,

0/ Tu as l'air d'avoir deux antivirus.
Il ne faut jamais avoir deux antivirus !!
Désinstalles un des deux



1/ Redémarres en mode sans échec

2/ Coches ces lignes et appuyes sur Fix Checked :


O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com


3/ Affiches tous les fichiers
Outils / Options des dossiers / Affichage
coches "afficher les fichiers cachés"
décoches "masquer les extensions des types connus"
décoches "masquer les fichiers protégés du système d'exploitation"


4/ Supprimes ces fichiers :

C:\WINDOWS\SYSTEM\intell32.exe
C:\WINDOWS\SYSTEM\oleext.dll
C:\WINDOWS\SYSTEM\oleext32.dll
C:\WINDOWS\SYSTEM\wppp.html
C:\WINDOWS\uninstIU.exe

Fais une recherche si tu trouves pas certains des fichiers ;-)

5/ Redémarres normalement

6/ Passes un coup de CCleaner et de Kaspersky

CCleaner

Kaspersky


7/ Repostes un log (pas en mode sans échec le log !!) ici en nous disant ceux que t'as pas pu supprimer (au cas ou y'en a certains !)

8/ Smitfraud

Il semblerait qu'il y ai une version de Smitfraud pour Me.

ici
Extrais le fichier, lances RunThis.bat et c'est parti :-P

Répondre à OmaR
fredmunich   29-09-2005 à 16:15:46
- 0 +

Merci Omar.
Voici ou j'en suis maintenant.
Je n'ai pas pu virer
C:\WINDOWS\SYSTEM\oleext.dll
C'etait impossible et je n'ai pas trouve:
C:\WINDOWS\SYSTEM\oleext32.dll
C:\WINDOWS\SYSTEM\wppp.html
C:\WINDOWS\uninstIU.exe

J'ai passe Adaware, qui trouve toujours plein de malware dans le Restore.
J'ai lance la version de Smitfraud
Jai passe CCleaner, Kapersky et voici mes logs:

1- Kasperski

------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, September 29, 2005 16:03:09
Operating System: Microsoft Windows Millennium Edition
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 29/09/2005
Kaspersky Anti-Virus database records: 142503
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\WINDOWS\TEMP\

Scan Statistics:
Total number of scanned objects: 6266
Number of viruses found: 2
Number of infected objects: 3
Number of suspicious objects: 0
Duration of the scan process: 513 sec

Infected Object Name - Virus Name
C:\WINDOWS\SYSTEM\intell32.exe Infected: Trojan.Win32.Small.ev
C:\WINDOWS\SYSTEM\oleext.dll Infected: Trojan.Win32.Small.ev
C:\WINDOWS\SYSTEM\WININET.DLL Infected: Virus.Win32.Nsag.b

Scan process completed.

2- HiJack

Logfile of HijackThis v1.99.1
Scan saved at 16:04:00, on 29.09.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\SITECOM EUROPE BV\SITECOM WL-113 UTILITY\SITECOMUSB.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [cFosInst_Check] C:\WINDOWS\OEMCFOS2\CFOSINST.EXE -install -loud
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe
O4 - HKLM\..\Run: [P.S.Guard] C:\Programme\P.S.Guard\PSGuard.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - HKLM\..\RunServices: [avast!] C:\Programme\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [NBJ] "C:\PROGRAMME\AHEAD\NERO BACKITUP\NBJ.EXE"
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O8 - Extra context menu item: Recherche &Google - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Pages similaires - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Pages liées - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://webmail.hartehanks.co.uk/iNotes.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/ga [...] /ht1_x.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads [...] n_ansi.cab

Donc toujours, Intell32 et PSGUARD

Merci du coup de main si on peut trouver une autre solution.

Répondre à fredmunich
esteban54   29-09-2005 à 17:54:46
- 0 +

Bonsoir,

Essaie ceci :

1/ Télécharge, installe et mets à jour :
Spybot Search and Destroy

2/ Télécharge PocketKillBox
Dézippe-le sur ton bureau.

3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

4/ Désinstalle si possible le prog suivant, via Ajout/suppresion de Prog :

P.S.Guard

5/ Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe
O4 - HKLM\..\Run: [P.S.Guard] C:\Program Files\P.S.Guard\PSGuard.exe

6/ Assure-toi que tu as accès aux fichiers cachés.

Citation :

Double-cliquez sur l’icône Mon ordinateur sur le bureau;
Dans le menu Outils, choisissez Options des dossiers;
Puis, dans la fenêtre qui apparaît, choisissez l’onglet Affichage;
Sous Paramètres avancés, assurez-vous que la case Afficher les fichiers et dossiers cachés est cochée et que la case Masquer les extensions des fichiers dont le type est connu n’est pas cochée;
Cliquez sur le bouton Appliquer puis sur le bouton OK.



7/ Ensuite supprime les fichiers et/ou dossiers suivants si encore présents :

C:\WINDOWS\SYSTEM\msmsgs.exe
C:\WINDOWS\SYSTEM\intell32.exe
C:\Program Files\P.S.Guard

8/ Ouvre Smitrem
Double clique sur RunThis.bat
Lance le nettoyage.

9/ Lance un scan avec ad-aware SE et supprime tout ce qu'il trouve
idem avec Spybot Search and Destroy

10/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

11/ Lance KillBox.exe

Coche "Delete on reboot"
Sélectionne le texte suivant et fait : CTRL C (= raccourci copier)

C:\WINDOWS\SYSTEM\intell32.exe
C:\Programme\P.S.Guard\PSGuard.exe
C:\WINDOWS\SYSTEM\oleext.dll

Ensuite, dans le menu de Killbox clique sur File puis sur Paste from Clipboard
Clique sur la croix rouge
Au premier message qui va s'afficher, réponds YES pour confirmer
Au deuxième message, réponds Yes pour redémarrer

12/ Fais un scan en ligne chez Panda Antivirus

13/ Colle son rapport ici avec un nouveau log HijackThis.

Où en sont tes problèmes ?

Répondre à esteban54
fredmunich   29-09-2005 à 18:04:11
- 0 +

Merci Esteban54
J'attendais une aide. Donc j'essaye tout de suite cette solution. Je te tiens au courant.
Merci

Répondre à fredmunich
fredmunich   30-09-2005 à 08:16:08
- 0 +

Voici mes resultats.
J'ai eu un probleme avec un delete de wininet.dll.
Je l'ai reloade et ca va apparement.

Ad Aware trouve toujours des choses dans les fichiers restore/temp et ne peut pas les enlever.

Voici mon log Panda et Hijack.

Incident Statut Analyse

Dialer:dialer.xd No Désinfecté C:\WINDOWS\switchagreement.txt
Adware:adware/superspider No Désinfecté C:\WINDOWS\msxmidi.exe
Adware:adware/savenow No Désinfecté Registre Windows
Hacktool:Hacktool/Processor No Désinfecté C:\WINDOWS\Desktop\SmitfraudFix.zip[Process.exe]
Hacktool:Hacktool/Processor No Désinfecté C:\WINDOWS\Desktop\SmitfraudFix\SmitfraudFix\Process.exe
Adware:Adware/MediaTickets No Désinfecté C:\WINDOWS\Downloaded Program Files\eied.inf
Dialer:Dialer.ABR No Désinfecté C:\WINDOWS\Downloaded Program Files\start99.inf
Adware:Adware/PurityScan No Désinfecté C:\WINDOWS\Downloaded Program Files\start.INF
Dialer:Dialer.Gen No Désinfecté C:\WINDOWS\switchagreement.txt
Dialer:Dialer.ZW No Désinfecté C:\_RESTORE\TEMP\A0010143.CPY
Adware:Adware/Smitfraud No Désinfecté C:\_RESTORE\TEMP\A0011149.CPY
Virus Eventuel. No Désinfecté C:\_RESTORE\TEMP\HOOKDUMP.0
Virus Eventuel. No Désinfecté C:\_RESTORE\TEMP\MSMSGS.0
Dialer:Dialer.AVV No Désinfecté C:\_RESTORE\TEMP\A0014185.1
Virus Eventuel. No Désinfecté C:\_RESTORE\TEMP\A0014187.0
Adware:Adware/Startpage.AAO No Désinfecté C:\_RESTORE\TEMP\A0014566.CPY
Adware:Adware/Startpage.AAO No Désinfecté C:\_RESTORE\TEMP\A0014567.CPY
Virus Eventuel. No Désinfecté C:\_RESTORE\TEMP\A0014679.0
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017648.0
Virus Eventuel. No Désinfecté C:\_RESTORE\TEMP\A0017649.1
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017650.0
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017651.0
Adware:Adware/ExactSearch No Désinfecté C:\_RESTORE\TEMP\A0017662.0
Adware:Adware/ExactSearch No Désinfecté C:\_RESTORE\TEMP\A0017663.0
Adware:Adware/eZula No Désinfecté C:\_RESTORE\TEMP\A0017678.0
Virus Eventuel. No Désinfecté C:\_RESTORE\TEMP\A0017679.1
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017680.0
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017681.0
Adware:Adware/ExactSearch No Désinfecté C:\_RESTORE\TEMP\A0017689.0
Virus Eventuel. No Désinfecté C:\_RESTORE\TEMP\A0017696.1
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017788.0
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017789.0
Adware:Adware/ExactSearch No Désinfecté C:\_RESTORE\TEMP\A0017790.0
Adware:Adware/ExactSearch No Désinfecté C:\_RESTORE\TEMP\A0017791.0
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017792.0
Adware:Adware/ExactSearch No Désinfecté C:\_RESTORE\TEMP\A0017793.0
Adware:Adware/eZula No Désinfecté C:\_RESTORE\TEMP\A0017794.0
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017795.0
Adware:Adware/ExactSearch No Désinfecté C:\_RESTORE\TEMP\A0017796.0
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017797.0
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017798.0
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017799.0
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017838.1
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017839.1
Adware:Adware/ExactSearch No Désinfecté C:\_RESTORE\TEMP\A0017841.1
Spyware:Spyware/BargainBuddy No Désinfecté C:\_RESTORE\TEMP\A0017842.1
Virus Eventuel. No Désinfecté C:\_RESTORE\TEMP\A0017952.1
Virus Eventuel. No Désinfecté C:\_RESTORE\TEMP\A0035357.CPY ---------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 08:06:20, on 30.09.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\SITECOM EUROPE BV\SITECOM WL-113 UTILITY\SITECOMUSB.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [cFosInst_Check] C:\WINDOWS\OEMCFOS2\CFOSINST.EXE -install -loud
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - HKLM\..\RunServices: [avast!] C:\Programme\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [NBJ] "C:\PROGRAMME\AHEAD\NERO BACKITUP\NBJ.EXE"
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O8 - Extra context menu item: Recherche &Google - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Pages similaires - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Pages liées - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://webmail.hartehanks.co.uk/iNotes.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/ga [...] /ht1_x.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads [...] n_ansi.cab

Bonne analyse. Merci de me dire si tout est ok ou si il y a quelque chose a faire pour les fichiers temp
A plus

Répondre à fredmunich
alessio@IDN   30-09-2005 à 12:58:19
- 0 +

bonjour assure toi d avvoir acces au fichier cacher pour ce faire

demarrer/poste de travail/outils/option des dossier/affichage/cocher les fichier cacher et decocher les extension

supprime les fichier signaler par panda comme infecter

vide les fichier temporaire



Répondre à alessio@IDN
esteban54   30-09-2005 à 17:29:14
- 0 +

Bonjour,

pour vider le dossier C:\_RESTORE\
désactive la restauration du système
ensuite réactive-la.

Répondre à esteban54
fredmunich   30-09-2005 à 18:06:29
- 0 +

J'ai une question complementaire avant de detruire les fichiers sur restore/temp.
Est-ce que je peux tout detruire ou juste ceux qui sont infectes?
Merci

Répondre à fredmunich
esteban54   30-09-2005 à 22:52:04
- 0 +

Je pense que t'auras pas accès au dossier C:\_RESTORE\ ("accès refusé" )
mais essaie quand même pour virer que les éléments infectés

Sur XP je sais comment avoir accès au contenu du dossier de restauration (qui est protégé et normalement pas accessible) pour virer uniquement les éléments infectés... mais pas sur Millenium dsl

Répondre à esteban54
fredmunich   01-10-2005 à 12:40:48
- 0 +

merci quand meme.
J'ai acces mais je n'arrive pas a les deleter.

Répondre à fredmunich
OmaR   01-10-2005 à 22:48:39
- 0 +

mais le dossier _RESTORE c'est pas la corbeille ? il suffit pas de vider la corbeille pour vider le dossier _RESTORE ??

Répondre à OmaR
esteban54   01-10-2005 à 23:54:52
- 0 +

Bonsoir Omar,

C:\_RESTORE\ c'est pour la restauration du système sur Windows millenium

la corbeille c'est C:\RECYCLER\
;-)

Répondre à esteban54
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > Intell32 persistant
Aller à :

Il y a 1646 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,255 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens