CONNEXION
  • RetourJeux
    • Sorties
    • Hit Parade
    • Les + populaires
    • Les + attendus
    • Soluces
    • Tous les Jeux
    • Gaming
  • RetourActu Gaming
    • News
    • Astuces
    • Tests
    • Previews
    • Toute l'actu gaming
  • RetourBons plans
    • Bons plans
    • Bons plans Smartphone
    • Bons plans Hardware
    • Bons plans Image et Son
    • Bons plans Amazon
    • Bons plans Cdiscount
    • Bons plans Decathlon
    • Bons plans Fnac
    • Tous les Bons plans
  • RetourJVTech
    • Actus High-Tech
    • Intelligence Artificielle
    • Smartphones
    • Mobilité urbaine
    • Hardware
    • Image et son
    • Tutoriels
    • Tests produits High-Tech
    • Guides d'achat High-Tech
    • JVTech
  • RetourCulture
    • Actus Culture
    • Culture
  • RetourVidéos
    • A la une
    • Gaming Live
    • Vidéos Tests
    • Vidéos Previews
    • Gameplay
    • Trailers
    • Chroniques
    • Replay Web TV
    • Toutes les vidéos
  • RetourForums
    • Hardware PC
    • PS5
    • Switch 2
    • Xbox Series
    • Switch
    • Pokemon pocket
    • FC 25 Ultimate Team
    • League of Legends
    • Tous les Forums
  • PC
  • PS5
  • Xbox Series
  • Switch 2
  • PS4
  • One
  • Switch
  • iOS
  • Android
  • MMO
  • RPG
  • FPS
En ce moment Genshin Impact Valhalla Breath of the wild Animal Crossing GTA 5 Red dead 2
Liste des sujets

Dossier 'down' dans System32

james_croft
james_croft
Niveau 10
29 décembre 2007 à 19:02:42

Bonjour, alors un petit probléme, je m´explique.

De temps en temps j´avais des écrans bleus en étant sur le net, dûs au fichier "afd.sys".

Alors je l´ai ouvert et vidé, mais en regardant dans le gestionnaire des tâches, il y a avais un programme lancé nommé 19995.exe.
Il faut savoir que le chiffre change à chaque démarrage.

En regardant où il se trouvait, je contaste un dossier nommé "down" dans System32,.
Voici ce qu´il y a dedans.

http://img143.imageshack.ack.us/img143/4625/downgl4.jpg

Une question : C´est grave docteur??????

:(

mkpower
mkpower
Niveau 8
29 décembre 2007 à 19:04:23

fais un scan de ton antivirus dessus

james_croft
james_croft
Niveau 10
29 décembre 2007 à 19:06:56

Sauf que Avast ne fonctionne plus depuis que j´ai eu ces probs :(

mkpower
mkpower
Niveau 8
29 décembre 2007 à 19:08:01

essaye de le faire en mode sans echec

james_croft
james_croft
Niveau 10
29 décembre 2007 à 19:10:15

L´antivirus ne fonctionne plus. Plus du tout.

EvilElf
EvilElf
Niveau 10
29 décembre 2007 à 19:25:33

Bonsoir,

- Télécharge Hijackthis de Merjin puis installe-le :
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
- Ferme toutes les fenêtres.
- Cliques sur « Do a system Scan Only and Save a Logfile »
- Un rapport apparaît à l’écran.
- Copie/Colle l’ensemble du rapport ici.

james_croft
james_croft
Niveau 10
29 décembre 2007 à 19:30:50

Je vais essayer

Mais là je viens d´essayer d´installer deux antivirus gratuits, l´installation à échouée.

J´ai essayé de remettre le pare-feu windows, ca échoue aussi.

james_croft
james_croft
Niveau 10
29 décembre 2007 à 19:33:16

hop

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:32:57, on 29/12/2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 -
HKCU\Software\Microsoft\Windows\CurrentVersion\Int
ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d´aide de l´Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [edb5] rundll32.exe edb5.dll,yqyb
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Screenshot Captor] "D:\Program Files\ScreenshotCaptor\ScreenshotCaptor.exe" /autorun
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Windows\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\Windows\system32\wintems.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ´SERVICE LOCAL´)
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ´SERVICE LOCAL´)
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ´SERVICE RÉSEAU´)
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra ´Tools´ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{14DC76CB-21F2-4
4C0-884C-31BB23222E54}: NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service:

    1. Id_String1.6844F930_1628_4223_B5CC_5BB94B879762#
  1. (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Microsoft Exchange Database Storage Engine (edb5) - Unknown owner - rundll32.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service de l´iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

--
End of file - 6351 bytes

EvilElf
EvilElf
Niveau 10
29 décembre 2007 à 19:45:28

Re,

Tu es infecté par le trojan Bagle. :d) ARRÊTE DE TÉLÉCHARGER DES CR@CKS !!

:d) Télécharge ELIBAGLA en bas de cette page
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

  • Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, place le sur le bureau.
  • Double-clique dessus pour l´ouvrir
  • Assure toi que dans le menu déroulant Unidad, tu as bien C:\
  • Vérifie aussi que l´option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
  • Cliques sur le bouton Explorar pour lancer l´analyse
  • Enregistre et poste le rapport ici.

On continue ensuite.

EvilElf
EvilElf
Niveau 10
29 décembre 2007 à 19:48:34

J´espère que cela fonctionnera sous Vista :(

james_croft
james_croft
Niveau 10
29 décembre 2007 à 19:48:41

Je fais ca tout de suite aprés diner :)

Merci d´avance :ok:

james_croft
james_croft
Niveau 10
29 décembre 2007 à 20:18:59

Voilà le rapport :

Sat Dec 29 20:08:35 2007
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.79
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle

Sat Dec 29 20:09:07 2007
EliBagle v10.79 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Windows\System32\drivers\down\104578.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\111546.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\14691953.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\156234.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\165875.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\204921.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\266392593.EXE --> Eliminado Bagle

Nº Total de Directorios: 15227
Nº Total de Ficheros: 126294
Nº de Ficheros Analizados: 11899
Nº de Ficheros Infectados: 8
Nº de Ficheros Limpiados: 7

james_croft
james_croft
Niveau 10
29 décembre 2007 à 20:24:03

J´ai effacé manuellement le fichier wintems.exe.vir

EvilElf
EvilElf
Niveau 10
29 décembre 2007 à 20:24:51

Poste un nouveau log HJC.

cybercorps
cybercorps
Niveau 16
29 décembre 2007 à 20:28:06

EvilElf :salut: Il est bien ton petit programme.
Comment tu sais que par rapport au log HijackThis, tu dois appilquer tel ou tel programme?
Il y a le site officiel de HijackThis, mais ça résoud pas tout?

cybercorps
cybercorps
Niveau 16
29 décembre 2007 à 20:29:14

http://www.hijackthis.de/fr
Il y a bien ce site mais ça dit pas tout et c´est pas sur.

EvilElf
EvilElf
Niveau 10
29 décembre 2007 à 20:35:03

Salut cybercorps,

Et bien j´ai identifié ces deux lignes :
O4 - HKCU\..\Run: [drvsyskit] C:\Windows\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\Windows\system32\wintems.exe

Les connaissant, j´ai su directement qu´il fallait utiliser ELIBAGLA.

Mais on a pas tout à fait fini, donc si je pouvais avoir le nouveau log HJC :fier:

cybercorps
cybercorps
Niveau 16
29 décembre 2007 à 20:40:52

Oui, sur le site j´ai mis son log, et ça à afficher deux fichiers à supprimer à tout prix (trojan).

cybercorps
cybercorps
Niveau 16
29 décembre 2007 à 20:43:01

EvilElf Tu peux utiliser le mode sans echec F8 en cas d´infection par spywares ou virus coriace et en cas ou l´ordinateur rame et ne répond plus du fait de l´infection, en dernier recours?

EvilElf
EvilElf
Niveau 10
29 décembre 2007 à 20:43:54

Oui on peut l´utiliser. Normalement.

Sous forums
  • Aide à l'achat Mac
  • Création de Jeux
  • Linux
  • Création de sites web
  • Programmation
  • Internet
  • Steam Deck
  • Macintosh
  • Hardware
La vidéo du moment