HELP HELP Virus avec fenetres qui 'souvrent toute seule
Forum Sécurité - Virus : HELP HELP Virus avec fenetres qui 'souvrent toute seule
Voilà j'ai des fenetres de cul, de meetic, de rencontre, qui s'ouvrent constemment!!!!!
Bref comment arreter ce virus infernal!!!!!!!
Ce serait super sympa car c'est le pc du boulot et çà le fait pas trop.
Merci les pros de l'informatique
Voici le rapport hijack:
Logfile of HijackThis v1.99.1
Scan saved at 16:07:29, on 29/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Coolmon\Coolmon.exe
C:\Appl\Trend Micro\OfficeScan Client\pccntmon.exe
D:\Documents and Settings\chakchm\Application Data\TomTom HOME\TomTomHOME.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Temp\tmp1EB8.tmp.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\XYZ Company\Modem ADSL USB\dslmon.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\chakchm\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxycache9t/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Appl\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {65c26cca-a61e-4e15-a7b8-c94bfe3c7fb1} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Coolmon] "C:\Program Files\Coolmon\Coolmon.exe" "-h" "-useccfg(C:\Program Files\Coolmon\configs\Standard.ccfg)"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDLauncher] "C:\Appl\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [FagorFonds] c:\WINDOWS\system32\fagorWallpaper.exe /s
O4 - HKLM\..\Run: [AeXAgentLogon] C:\Appl\Altiris\Altiris Agent\AeXAgentActivate.exe /logon
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "c:\Appl\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CyberDefender Early Detection Center] "D:\Program Files\CyberDefender\cdinstx.exe" -cfgwizard
O4 - HKCU\..\Run: [RemoveIT Pro XT] D:\Program Files\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "D:\Documents and Settings\chakchm\Application Data\TomTom HOME\TomTomHOME.exe" -s
O4 - HKCU\..\Run: [dskdbu] RunDll32.exe "C:\WINDOWS\system32\dskdbu.dll",DNSetup
O4 - HKCU\..\Run: [SysRestore] "C:\Temp\tmp1EB8.tmp.exe"
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Gestionnaire de MediaTransfer Client.lnk = C:\Appl\ENERGIE\telelogo\mtransfr\Bin\MTSysTray.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\appl\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Appl\ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Appl\ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Appl\ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {44F5B161-E065-11D2-8022-00105A3C1F1E} (Esker Symbol fonts Control) - http://slbdtc0004/eskplus/emul/ocx/esksfont.cab
O16 - DPF: {4B835740-04BB-11D4-8719-00508B105454} (Esker ANSI Font Control) - http://slbdtc0004/eskplus/emul/ocx/eskansi.cab
O16 - DPF: {4F22C243-E057-11D2-8022-00105A3C1F1E} (Esker SAA Control) - http://slbdtc0004/eskplus/emul/ocx/esksaa32.cab
O16 - DPF: {4F22C244-E057-11D2-8022-00105A3C1F1E} (Esker SNA Control) - http://slbdtc0004/eskplus/emul/ocx/esksna32.cab
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://sasdtc0008/tsweb/msrdp.cab
O16 - DPF: {76C05EA5-E169-11D2-B53E-006097DD5DB7} (Esker EskZip Control) - http://slbdtc0004/eskplus/emul/ocx/eskzip.cab
O16 - DPF: {D285F787-336A-11D1-80DE-00A024D266D3} (Esker 5250X Control) - http://slbdtc0004/eskplus/emul/ocx/syn5250x.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = emea.elcobrandt.net
O17 - HKLM\Software\..\Telephony: DomainName = emea.elcobrandt.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = emea.elcobrandt.net,elcobrandt.net,brandtcommerce.fr,brandtgroup.com,elcobrandt.com
O20 - AppInit_DLLs:
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Altiris Agent (AeXNSClient) - Altiris, Inc. - C:\Appl\Altiris\Altiris Agent\AeXNSAgent.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Appl\VPN Client\cvpnd.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: MediaTransfer Client - Telelogos - C:\Appl\Energie\Telelogo\MTransfr\BIN\SERVICE.EXE
O23 - Service: MediaTransfer Scheduler Client - Unknown owner - C:\Appl\Energie\Telelogo\MTransfr\BIN\SERVICE.EXE" -F:MSERVICE_SCHEDULER.INI (file missing)
O23 - Service: MSSQLSERVER - Unknown owner - C:\APPL\ENERGIE\MSDEMSSQL\Binn\sqlservr.exe (file missing)
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - c:\Appl\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SQLSERVERAGENT - Unknown owner - C:\APPL\ENERGIE\MSDEMSSQL\Binn\sqlagent.EXE (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - c:\Appl\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
Bonjour,
Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :
Clique sur le premier " Download " afin de télécharger le programme
Sauvegarde le sur ton Bureau
Double-clique fsbl.exe et accepte la licence; clique Scan puis Next.
A la fin du scan, NE TOUCHE A RIEN !
Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Nous devons analyser ce rapport, ferme donc le BlackLight.
Poste le rapport sur le forum.
AIDE : Tuto sur BlackLight (Malekal)
Répondre à Angeldark
Je n'ai pas de privilèges suffisants car pc du taff. Il faut qu'il s'installe sur disque D!!!!!!! As tu une astuce pour contourner?
Essaie sur le D:
Répondre à Angeldark
Il se met automatiquement sur D, je choisis pas
Bah scan 
Répondre à Angeldark
Mon anti virus annonce TROJ_CONHOOK.CR
Si ca peut vous aider
Mais je veux le scan Blacklight avant de continuer ?
Répondre à Angeldark
je peux pas installer active X pas assez de priviligèges administrateur
As tu une astuce, car je peux pas scaner mon pc sur le site?
Il n'y as pas d'ActiveX à télécharger..
Répondre à Angeldark
insuffisense rights to utilse active X
On va faire autrement.
Télécharge Navilog1.exe (IL-MAFIOSO)
Enregistre-le sur ton Bureau.
Lance l'installation en double cliquant sur navilog.exe.
Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)
Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
! N'utilise pas l'option 2, 3 et 4 sans notre accord !
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous son contenu de cette manière :
-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse
NOTE : Le rapport se trouve également ici : C:\fixnavi.txt
Répondre à Angeldark
Alors comment je peux faire si je peux pas utiliser le controle X? il doit bien exister une astuce?
Tu as vu mon message ?
Répondre à Angeldark
C'est le meme problème, il se mets sur C, je ne peux pas chosir. Il faut absolument que je puisse l'installer sur D.
merci je sais que c'est chiant.
Test sur C: alors
Répondre à Angeldark
pardon ya ecrit windows ne trouve pas C://programfiles/navilog1/navilog1.bat
...
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
- Double-clique VundoFix.exe afin de le lancer
- Clique sur le bouton Scan for Vundo
- Lorsque le scan est complété, clique sur le bouton Remove Vundo
- Une invite te demandera si tu veux supprimer les fichiers, clique YES
- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
- Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
- Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
Répondre à Angeldark
elle s'est mise sur le bureau ( j'ai fais propriété sur le fichier qui s'est mis sur le bureau)
Il se nomme navilog1
ok le scan est en cours.
Il m'a mis qu'aucun virus n'a été trouvé. Il n'a pas redémarré?
Que dois-je faire?
Re,
- Télécharge combofix.exe (par sUBs) sur ton Bureau.
- Double clique combofix.exe.
- Tape sur la touche Y (Yes) pour démarrer le scan.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Répondre à Angeldark
You need administrative rights!
J'espère qu'on va s'en sortir, c'est enbêtant ces droits
j'ai recu une fenetre teletubbies que j'ai fermée
Tu es administrateur ou pas ?
Répondre à Angeldark
non, c'est le pc du boulot malheureusement
Pas moyen de voir avec l'admin du pc ?
Répondre à Angeldark
Bah, si je pense, mais ils vont me faire chié, je voulai essayer de le faire seul.
Sans les droits, on ne peut rien.
Répondre à Angeldark
ok tant pis, Je te remercie beaucoup
Il y a 239 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
