Se connecter avec
S'enregistrer | Connectez-vous
Votre question
Résolu

Trojan acronis toolbar helper et symantec

Tags :
  • Toolbar
  • Sécurité
  • Windows
Dernière réponse : dans Sécurité et virus
Partagez
29 Septembre 2010 11:44:51

Bonjour,

voilà j'ai repéré 3 rundll32 dans mes processus. je suis allé voir dans msconfig et je les ai enlevées au démarrage.

je redémarre et hop elle sont revenues. :??: 

je fais un regedit et dans :
HKLM\software\microsoft\windows\currentversion\run ; je trouve ces 3 lignes:

Acronis Toolbar Helper : rundll32.exe "C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard\dskclnwiz.dll", StartProt

rqrropsys : rundll32.exe "ssrqro.dll",s

yaxutsaudio : rundll32.exe "nnonmn.dll",s

je les vire et paf elles reviennent :fou:  :fou:  :fou: 

starter me donne ça comme démarrage :

Elément,Valeur,Section,Enabled,Description,Company
"Acronis Toolbar Helper","rundll32.exe "C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard\dskclnwiz.dll", StartProt","Registre - Démarrage machine","1","",""
"Acronis Toolbar Helper","rundll32.exe "C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard\dskclnwiz.dll", StartProt","Registre - Démarrage machine","0","",""
"CTFMON.EXE","C:\WINDOWS\system32\ctfmon.exe","Registre - Démarrage utilisateur courant","1","CTF Loader (Microsoft® Windows® Operating System)","Microsoft Corporation"
"CTFMON.EXE","C:\WINDOWS\system32\CTFMON.EXE","Registre - Démarrage utilisateur par défaut","1","CTF Loader (Microsoft® Windows® Operating System)","Microsoft Corporation"
"Desktop Cleanup Wizard","rundll32.exe "C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard\dskclnwiz.dll", StartProt","Registre - Démarrage utilisateur courant","0","",""
"hgfgggsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage machine","0","foobar2000","foobar2000.org"
"khiigdsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage machine","0","foobar2000","foobar2000.org"
"Microsoft Office.lnk","C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l","Démarrage - Tous les utilisateurs","1","Microsoft Office XP component (Microsoft Office XP)","Microsoft Corporation"
"mligecaudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage utilisateur par défaut","1","RemoteCommand Module (Norton Ghost )","Symantec Corporation"
"mlkjigaudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage utilisateur courant","1","RemoteCommand Module (Norton Ghost )","Symantec Corporation"
"MSMSGS",""C:\Program Files\Messenger\msmsgs.exe" /background","Registre - Démarrage utilisateur courant","1","Windows Messenger (Messenger)","Microsoft Corporation"
"Realtime Monitor",""C:\Program Files\CA\eTrustITM\realmon.exe" -s","Registre - Démarrage machine","1"," (eTrust ITM)","CA"
"rqrropsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage machine","1","foobar2000","foobar2000.org"
"ssrstqsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage utilisateur par défaut","1","foobar2000","foobar2000.org"
"xxvttraudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage machine","0","RemoteCommand Module (Norton Ghost )","Symantec Corporation"
"xxxyabaudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage utilisateur courant","0","RemoteCommand Module (Norton Ghost )","Symantec Corporation"
"yaaabbsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage machine","0","foobar2000","foobar2000.org"
"yaxutsaudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage machine","1","RemoteCommand Module (Norton Ghost )","Symantec Corporation"

je précise que je ne peux plus lancer malewarebyte's.

comment puis-je virer ces virus? car je pense que c'est comme ça que celà doit s'appeler!!!

merci d'avance à ceux qui se pencheront sur mon problème

Fredalien

Autres pages sur : trojan acronis toolbar helper symantec

Meilleure solution

a b 8 Sécurité
29 Septembre 2010 12:04:37

Restauration des associations de fichiers .exe ..

• Désactivez votre antivirus.

• Téléchargez/Lancez un des outils suivant (de Grinler).
…. N’utilisez que le premier lien http//.. qui ce lancera !

http://download.bleepingcomputer.com/grinler/rkill.scr
http://download.bleepingcomputer.com/grinler/rkill.com
http://download.bleepingcomputer.com/grinler/eXplorer.e...
http://download.bleepingcomputer.com/grinler/iExplore.e...

• Réactivez l’antivirus

P.S. : Ne pas redémarrer le PC après cela.
_____________________________________________

Alors d'abord stopper tout les Runddl32.exe dans le Gestionnaire de tâches. Laisser le ouvert, pour vérifier qu'ils y en aient d'autre qui soient lancés.

Lancer un [scan Rapide] avec le scanner dont vous faites mention .
Mais ne redémarrer pas l'ordi après.
Et poster le rapport depuis [Rapports/Logs]
_____________________________________________

Produisez un diagnostique complet du PC.
• Téléchargez sur votre bureau ZHPDiag (de Coolman).
• Laisser la connexion Internet ouverte..,

Avec XP :
• Lancer ZHPDiag.exe par un double-clique

Avec Vista/Win7 :
• Lancer ZHPDiag.exe par un clic-droit → Exécuter en tant qu'Adm..

⊳ Le rapport ZHPDiag.txt va s'ouvrir..


Au lieu de poster ce rapport "trop volumineux" direct sur le forum.

► Poster le avec l'hébergeur CJoint - tuto.
_______________________________________

Afficher les fichiers / rép. cachés (si nécessaires)


Lancer une recherche pour retracer l'emplacement de ces fichiers ; ssrqro.dll et nnonmn.dll

Et aller scanner un de ces fichiers suspect chez Virus Total .

Si le fichier a déjà été scanner, alors re-scanner le.
Ne postez que l'adresse http//......de la page résultat.
...........................................(http//.. qui est en haut dans le navigateur)




partage
29 Septembre 2010 14:09:18

re,

merci de ta réponse rapide, voici le zhpdiag : http://cjoint.com/?jDoarjTUv7

ce que me dit le premier outil :
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as STAGIAIRE on 29/09/2010 at 13:53:59.


Services Stopped:


Processes terminated by Rkill or while it was running:


C:\Documents and Settings\STAGIAIRE\Local Settings\Temporary Internet Files\Content.IE5\CT1KSINF\rkill[1].scr

la ssrqro.dll est dans system32 et la nnonmn.dll aussi.
je les scanne et je re

Merci encore de m'aider

Fredalien


Rkill completed on 29/09/2010 at 13:54:05.

m
0
l
Contenus similaires
Pas de réponse à votre question ? Demandez !
a b 8 Sécurité
29 Septembre 2010 15:22:59


► Faites les procédures suivantes, dans la séquence proposée.


Lancer ZHPFix.exe ..
• Sélectionner & Copiez(par un clic-droit) le contenu de cette page Web,
• Cliquez sur le bouton [H].
• Cliquez sur [OK]
• Cliquez sur [Tous] et sur [Nettoyer],

► Redémarrer le PC

► Poster le rapport.


_______________________________________________________

Aller supprimer ce répertoire ;

C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard
____________________________________

Télécharger et décompresser ce fichier.
• Lancer ListReg.bat
Poster le rapport.
____________________________________

• Télécharger et mettez à jours Java : http://www.java.com/fr/
____________________________________

Gestion des service-Logiciel.
Peuvent être arrêtés lorsqu'inutilisés par leurs programmes.
Seront chargés que lorsque leurs programmes seront lancés.

Allez dans Menu Démarrer→ Exécuter.., entrez services.msc et valider.
• Double-cliquer sur les services suivants ..
• Et mettez leurs "Type de démarrage" → en Manuel ou Désactiver.

Service Google ; ← en Manuel
Java Quick Starter ; ← à Désactiver.

____________________________________

Aller désinstaller l'antivirus CA et installer la version 10 d'Antivir.
• Antivir : Téléchargement - & - Tuto de configl.

Peut-être ce désinstallateur de CA sera utile.

Après avoir appliquer le tuto de config d'Antivir.
• Et avoir fait la mise à jours des définitions de virus / spy etc
• Lancer un scan complet
Et poster le rapport.
____________________________________

À moins que vous utilisiez..
• Aller désinstaller toutes les toolbar de Google et la "SnagIt 9 de TechSmith"
Ça va accélérer le navigateur un peu davantage.
____________________________________

Purger tout les points de la Restauration du système.

• Désactiver et Ré-activer la Restauration du système.

Préférable de tous les supprimés quelques fois par années. Et pour cause, il est fréquent que quelques un des ces points soient, soit infectés et/ou endommagés. Et ça, ont ne s'en rend compte, que lorsque l’on en a besoin. Les désinfections appliquées par l’antivirus de service ou autre scanner, les endommages assez souvent.

Leurs répertoires : ..\System Volume Information\..

La Restauration du système s’applique à des fichiers système et à certains fichiers programme et paramètres du Registre. Cet outil ne s'applique pas aux fichiers personnels, tels que ; photos, documents ou courrier électronique..
____________________________________

Lancez Ccleaner.

• Cliquez sur Option → [Avancé] → Décochez Effacer uniquement les fichiers temporaire .. de plus de 48 heures,

• Sélectionnez Nettoyeur → [Windows], allez à la section "Avancé",
• Et Cochez uniquement la première case "Vieilles données du prefetch",

• Sélectionnez le bouton [Analyser].., lorsque complété,
• Cliquer sur [Nettoyer], jusqu’à ce que la fenêtre soit vide.

Lorsque ce nettoyage est complété.
Remettre les options standard, pour une utilisation au quotidien.
• Allez Recocher dans les Options → Avancé : Effacer uniquement les fichiers temporaire .. de plus de 48 heures
• Et dans Nettoyeur → Windows → Décocher : Vieilles données du prefetch

Utiliser CCleaner après chaque session sur le net et/ou avant de fermer le PC.

____________________________________

Paramétrer les services inutiles et même risqués de Windows.
Puisqu'il s'agit d'une tâche +-ardue.
• Commencez par créer un pont de restauration.

• Aller sur cette page.
• Et appliquer "en bas de page", toutes les pages de paramètres Conseillés pour XP.
m
0
l
29 Septembre 2010 15:51:38

heu, je te remercie beaucoup!!

je viens de me dépanner avec combofix je poste le rapport
http://cjoint.com/?jDpT3jYHdv

entous les cas encore merci à toi car tu m'as rudement bien aidé à trouver comment faire!!

à de prochaines aventures....

Fredalien
m
0
l
29 Septembre 2010 15:52:24

Meilleure réponse sélectionnée par fredalien.
m
0
l
a b 8 Sécurité
29 Septembre 2010 16:39:13

Dans Démarrer → Exécuter, entrer combofix /uninstall et valider.
Et vérifier s'il y des rép. C:\Combofix et/ou Qoobox à supprimer.
____________________________________________________

Le résultat de la désinfection, aurait été le même avec ZHPFix.
Cela suivit du scan d'Antivir, pour ramasser les traces inactives restantes.

Le rép. que vous deviez aller supprimer ;
C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard

Ce que ZHPFix auraient gérés, sur le disque et dans le registre ;
C:\Program Files\Deskbar
C:\WINDOWS\system32\ssrqro.dll
C:\WINDOWS\system32\dskclnwiz.dll
C:\WINDOWS\system32\nnonmn.dll
C:\WINDOWS\system32\winamnc.dll
C:\WINDOWS\system32\winbudump.exe

Et les traces inactives qu'Antivir auraient ramassées ;
c:\windows\system32\nnkkkh.dll
c:\windows\system32\winamnc_backup.dll
____________________________________________

Vous devriez lancer quand même ZHPFix.
D'abord parce que le MBR montre des signes suspects ..à vérifier..
Ce que combofix ne fait pas.

Et parce que j'ai aussi tenu compte du 250Mo de Ram, de votre ordi.
Avec pour résultat.
Qu'une désactivation de processus non-nécessaires au démarrage sera appliqués. Ce qui devrait déjà ajouter aux performances de l'ordi.

Les autre procédures sont aussi à tenir en comptes.
Soient, pour les services Logiciels et Windows inutiles et/ou à risque, à désactiver. Encore autant pour ajouter aux performances, ..que pour sécuriser l'ordi.

_____________________________________________
Un scanner ou autant de scanner utilisés simultanément.
Ne pourront jamais rivaliser avec ou un (ou 2 si nécessaire) rapport élaborés.

m
0
l