Résolu Trojan acronis toolbar helper et symantec

fredalien

fredalien

Habitué
Bonjour,

voilà j'ai repéré 3 rundll32 dans mes processus. je suis allé voir dans msconfig et je les ai enlevées au démarrage.

je redémarre et hop elle sont revenues. :??:

je fais un regedit et dans :
HKLM\software\microsoft\windows\currentversion\run ; je trouve ces 3 lignes:

Acronis Toolbar Helper : rundll32.exe "C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard\dskclnwiz.dll", StartProt

rqrropsys : rundll32.exe "ssrqro.dll",s

yaxutsaudio : rundll32.exe "nnonmn.dll",s

je les vire et paf elles reviennent :fou: :fou: :fou:

starter me donne ça comme démarrage :

Elément,Valeur,Section,Enabled,Description,Company
"Acronis Toolbar Helper","rundll32.exe "C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard\dskclnwiz.dll", StartProt","Registre - Démarrage machine","1","",""
"Acronis Toolbar Helper","rundll32.exe "C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard\dskclnwiz.dll", StartProt","Registre - Démarrage machine","0","",""
"CTFMON.EXE","C:\WINDOWS\system32\ctfmon.exe","Registre - Démarrage utilisateur courant","1","CTF Loader (Microsoft® Windows® Operating System)","Microsoft Corporation"
"CTFMON.EXE","C:\WINDOWS\system32\CTFMON.EXE","Registre - Démarrage utilisateur par défaut","1","CTF Loader (Microsoft® Windows® Operating System)","Microsoft Corporation"
"Desktop Cleanup Wizard","rundll32.exe "C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard\dskclnwiz.dll", StartProt","Registre - Démarrage utilisateur courant","0","",""
"hgfgggsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage machine","0","foobar2000","foobar2000.org"
"khiigdsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage machine","0","foobar2000","foobar2000.org"
"Microsoft Office.lnk","C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l","Démarrage - Tous les utilisateurs","1","Microsoft Office XP component (Microsoft Office XP)","Microsoft Corporation"
"mligecaudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage utilisateur par défaut","1","RemoteCommand Module (Norton Ghost )","Symantec Corporation"
"mlkjigaudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage utilisateur courant","1","RemoteCommand Module (Norton Ghost )","Symantec Corporation"
"MSMSGS",""C:\Program Files\Messenger\msmsgs.exe" /background","Registre - Démarrage utilisateur courant","1","Windows Messenger (Messenger)","Microsoft Corporation"
"Realtime Monitor",""C:\Program Files\CA\eTrustITM\realmon.exe" -s","Registre - Démarrage machine","1"," (eTrust ITM)","CA"
"rqrropsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage machine","1","foobar2000","foobar2000.org"
"ssrstqsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage utilisateur par défaut","1","foobar2000","foobar2000.org"
"xxvttraudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage machine","0","RemoteCommand Module (Norton Ghost )","Symantec Corporation"
"xxxyabaudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage utilisateur courant","0","RemoteCommand Module (Norton Ghost )","Symantec Corporation"
"yaaabbsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage machine","0","foobar2000","foobar2000.org"
"yaxutsaudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage machine","1","RemoteCommand Module (Norton Ghost )","Symantec Corporation"

je précise que je ne peux plus lancer malewarebyte's.

comment puis-je virer ces virus? car je pense que c'est comme ça que celà doit s'appeler!!!

merci d'avance à ceux qui se pencheront sur mon problème

Fredalien

 
cosmido

cosmido

Grand Maître
Meilleure réponse
Restauration des associations de fichiers .exe ..

• Désactivez votre antivirus.

• Téléchargez/Lancez un des outils suivant (de Grinler).
…. N’utilisez que le premier lien http//.. qui ce lancera !

Vous devez être connecté pour voir les liens.

http://download.bleepingcomputer.com/grinler/rkill.com
Vous devez être connecté pour voir les liens.

http://download.bleepingcomputer.com/grinler/iExplore.exe

• Réactivez l’antivirus

P.S. : Ne pas redémarrer le PC après cela.
_____________________________________________

Alors d'abord stopper tout les Runddl32.exe dans le Gestionnaire de tâches. Laisser le ouvert, pour vérifier qu'ils y en aient d'autre qui soient lancés.

Lancer un [scan Rapide] avec le scanner dont vous faites mention .
Mais ne redémarrer pas l'ordi après.
Et poster le rapport depuis [Rapports/Logs]
_____________________________________________

Produisez un diagnostique complet du PC.
• Téléchargez sur votre bureau
Vous devez être connecté pour voir les liens.
(de Coolman).
• Laisser la connexion Internet ouverte..,

Avec XP :
• Lancer ZHPDiag.exe par un double-clique

Avec Vista/Win7 :
• Lancer ZHPDiag.exe par un clic-droit → Exécuter en tant qu'Adm..

⊳ Le rapport ZHPDiag.txt va s'ouvrir..


Au lieu de poster ce rapport "trop volumineux" direct sur le forum.

► Poster le avec l'hébergeur CJoint -
Vous devez être connecté pour voir les liens.
.
_______________________________________

Afficher les fichiers / rép. cachés (si nécessaires)


Lancer une recherche pour retracer l'emplacement de ces fichiers ; ssrqro.dll et nnonmn.dll

Et aller scanner un de ces fichiers suspect chez
Vous devez être connecté pour voir les liens.
.

Si le fichier a déjà été scanner, alors re-scanner le.
Ne postez que l'adresse http//......de la page résultat.
...........................................(http//.. qui est en haut dans le navigateur)




 
fredalien

fredalien

Habitué
re,

merci de ta réponse rapide, voici le zhpdiag :
Vous devez être connecté pour voir les liens.


ce que me dit le premier outil :
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as STAGIAIRE on 29/09/2010 at 13:53:59.


Services Stopped:


Processes terminated by Rkill or while it was running:


C:\Documents and Settings\STAGIAIRE\Local Settings\Temporary Internet Files\Content.IE5\CT1KSINF\rkill[1].scr

la ssrqro.dll est dans system32 et la nnonmn.dll aussi.
je les scanne et je re

Merci encore de m'aider

Fredalien


Rkill completed on 29/09/2010 at 13:54:05.

 
cosmido

cosmido

Grand Maître
► Faites les procédures suivantes, dans la séquence proposée.


Lancer ZHPFix.exe ..
• Sélectionner & Copiez(par un clic-droit) le contenu de cette
Vous devez être connecté pour voir les liens.
,
• Cliquez sur le bouton [H].
• Cliquez sur [OK]
• Cliquez sur [Tous] et sur [Nettoyer],

► Redémarrer le PC

► Poster le rapport.

_______________________________________________________

Aller supprimer ce répertoire ;

C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard
____________________________________

Télécharger et décompresser
Vous devez être connecté pour voir les liens.
.
• Lancer ListReg.bat
Poster le rapport.
____________________________________

• Télécharger et mettez à jours Java : http://www.java.com/fr/
____________________________________

Gestion des service-Logiciel.
Peuvent être arrêtés lorsqu'inutilisés par leurs programmes.
Seront chargés que lorsque leurs programmes seront lancés.

Allez dans Menu Démarrer→ Exécuter.., entrez services.msc et valider.
• Double-cliquer sur les services suivants ..
• Et mettez leurs "Type de démarrage" → en Manuel ou Désactiver.

Service Google ; ← en Manuel
Java Quick Starter ; ← à Désactiver.

____________________________________

Aller désinstaller l'antivirus CA et installer la version 10 d'Antivir.
• Antivir :
Vous devez être connecté pour voir les liens.
- & -
Vous devez être connecté pour voir les liens.
.

Peut-être ce
Vous devez être connecté pour voir les liens.
sera utile.

Après avoir appliquer le tuto de config d'Antivir.
• Et avoir fait la mise à jours des définitions de virus / spy etc
• Lancer un scan complet
Et poster le rapport.
____________________________________

À moins que vous utilisiez..
• Aller désinstaller toutes les toolbar de Google et la "SnagIt 9 de TechSmith"
Ça va accélérer le navigateur un peu davantage.
____________________________________

Purger tout les points de la Restauration du système.

• Désactiver et Ré-activer la
Vous devez être connecté pour voir les liens.
.

Préférable de tous les supprimés quelques fois par années. Et pour cause, il est fréquent que quelques un des ces points soient, soit infectés et/ou endommagés. Et ça, ont ne s'en rend compte, que lorsque l’on en a besoin. Les désinfections appliquées par l’antivirus de service ou autre scanner, les endommages assez souvent.

Leurs répertoires : ..\System Volume Information\..

La Restauration du système s’applique à des fichiers système et à certains fichiers programme et paramètres du Registre. Cet outil ne s'applique pas aux fichiers personnels, tels que ; photos, documents ou courrier électronique..
____________________________________

Lancez Ccleaner.

• Cliquez sur Option → [Avancé] → Décochez Effacer uniquement les fichiers temporaire .. de plus de 48 heures,

• Sélectionnez Nettoyeur → [Windows], allez à la section "Avancé",
• Et Cochez uniquement la première case "Vieilles données du prefetch",

• Sélectionnez le bouton [Analyser].., lorsque complété,
• Cliquer sur [Nettoyer], jusqu’à ce que la fenêtre soit vide.

Lorsque ce nettoyage est complété.
Remettre les options standard, pour une utilisation au quotidien.
• Allez Recocher dans les Options → Avancé : Effacer uniquement les fichiers temporaire .. de plus de 48 heures
• Et dans Nettoyeur → Windows → Décocher : Vieilles données du prefetch

Utiliser CCleaner après chaque session sur le net et/ou avant de fermer le PC.

____________________________________

Paramétrer les services inutiles et même risqués de Windows.
Puisqu'il s'agit d'une tâche +-ardue.
• Commencez par créer un pont de restauration.

• Aller sur
Vous devez être connecté pour voir les liens.
.
• Et appliquer "en bas de page", toutes les pages de paramètres Conseillés pour XP.
 
fredalien

fredalien

Habitué
heu, je te remercie beaucoup!!

je viens de me dépanner avec combofix je poste le rapport
Vous devez être connecté pour voir les liens.


entous les cas encore merci à toi car tu m'as rudement bien aidé à trouver comment faire!!

à de prochaines aventures....

Fredalien
 
cosmido

cosmido

Grand Maître
Dans Démarrer → Exécuter, entrer combofix /uninstall et valider.
Et vérifier s'il y des rép. C:\Combofix et/ou Qoobox à supprimer.
____________________________________________________

Le résultat de la désinfection, aurait été le même avec ZHPFix.
Cela suivit du scan d'Antivir, pour ramasser les traces inactives restantes.

Le rép. que vous deviez aller supprimer ;
C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard

Ce que ZHPFix auraient gérés, sur le disque et dans le registre ;
C:\Program Files\Deskbar
C:\WINDOWS\system32\ssrqro.dll
C:\WINDOWS\system32\dskclnwiz.dll
C:\WINDOWS\system32\nnonmn.dll
C:\WINDOWS\system32\winamnc.dll
C:\WINDOWS\system32\winbudump.exe

Et les traces inactives qu'Antivir auraient ramassées ;
c:\windows\system32\nnkkkh.dll
c:\windows\system32\winamnc_backup.dll
____________________________________________

Vous devriez lancer quand même ZHPFix.
D'abord parce que le MBR montre des signes suspects ..à vérifier..
Ce que combofix ne fait pas.

Et parce que j'ai aussi tenu compte du 250Mo de Ram, de votre ordi.
Avec pour résultat.
Qu'une désactivation de processus non-nécessaires au démarrage sera appliqués. Ce qui devrait déjà ajouter aux performances de l'ordi.

Les autre procédures sont aussi à tenir en comptes.
Soient, pour les services Logiciels et Windows inutiles et/ou à risque, à désactiver. Encore autant pour ajouter aux performances, ..que pour sécuriser l'ordi.

_____________________________________________
Un scanner ou autant de scanner utilisés simultanément.
Ne pourront jamais rivaliser avec ou un (ou 2 si nécessaire) rapport élaborés.

 
Vous devez vous inscrire ou vous connecter pour répondre ici.
Dernières actus
Derniers messages publiés
Statistiques globales
Discussions
730 125
Messages
6 717 792
Membres
1 586 362
Dernier membre
idi-1023
Partager cette page
Haut