Auriana a écrit:
:bounce:
problème résolu :D
en faisant MSconfig (merci juju pour l'article sur ton blog :super: )
en mode normal et en mode sans échec j'avais exactement pareil :paf:
mais après analyse des fichiers et de ou ils se trouvaient... j'avais un .dll qui se lancait mais qui etait pas dans C:windows il était dans documents &setting, application data etc etc :super:
j'ai tenté de le désactivé et j'ai plus le probleme [:faim]
J'ai exactement eu le même problème de menus "fantômes".
Chez moi, c'était les "cartes de visites" de mes contacts MSN qui étaient devenues invisibles.
Voici mon histoire :D
J'ai Sygate mais il était désactivé depuis plusieurs mois, et je l'ai réactivé il y a 2 jours, je ne sais plus pourquoi.
Hier, j'allume mon PC, et Sygate me lance le message suivant :
Code :
File Version : 5.1.2600.2180
File Description : Exécuter une DLL en tant qu'application (rundll32.exe)
File Path : C:\WINDOWS\system32\rundll32.exe
Process ID : 0x43C (Heximal) 1084 (Decimal)
Connection origin : local initiated
Protocol : TCP
Local Address : 192.168.1.2
Local Port : 1030
Remote Name : zd.lo-t.com
Remote Address : 222.76.217.140
Remote Port : 80 (HTTP - World Wide Web)
Ethernet packet details:
Ethernet II (Packet Length: 76)
Destination: 00-18-39-21-32-80
Source: 00-0c-76-bb-16-b3
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 128
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0xb380 (Correct)
Source: 192.168.1.2
Destination: 222.76.217.140
Transmission Control Protocol (TCP)
Source port: 1030
Destination port: 80
Sequence number: 3180324276
Acknowledgment number: 0
Header length: 28
(...)
J'ai donc fait un WhoIs sur lo-t.com, :
Code :
Domain Name:lo-t.com
Administrative Contact:
Technical Contact:
Billing Contact:
luopin
luopin
60
guilin Guangxi
CN
tel: 86 0773 5834349
fax: 86 0773 5834349
bigsiteadmin@sina.com
Registration Date: 2006-04-03
Update Date: 2006-04-03
Expiration Date: 2008-04-03
Primary DNS: ns2.xinnetdns.com 210.51.170.48
Secondary DNS: ns2.xinnet.cn 210.51.170.67
Bref, ce n'était pas un serveur "fiable", c'était donc louche.
J'ai cherché sur Google, mais aucune trace de ce site "lo-t.com"
J'ai analysé mon ordi avec l'antivirus KasperSky online et il m'a découvert 3 splendides trojan et leurs déclinaisons :
Trojan-Downloader.Win32.WinShow.ak
Trojan-Downloader.Win32.Agent.bc
Trojan-PSW.Win32.OnLineGames.dl
Trojan-Downloader.Win32.Agent.bq
Trojan.Win32.Agent.em
Trojan-Clicker.Win32.Agent.ac
Trojan-PSW.Win32.Nilage.bgj
Les fichiers infectés que j'ai trouvé sont
c:\windows\system32\NTSOCK.EXE + NTSOCK.DLL
C:\DOCUME~1\fix\LOCALS~1\Temp\msdoa.dll + msdoz.dll + a.dll + b.dll
Et je retrouve en fait un cas similaire dans le HiJackThisLog ci-dessus :
Running Process : C:\WINDOWS\system32\ntsock.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntsock.exe
O4 - HKLM\..\Run: [winabc] rundll32.exe C:\DOCUME~1\Arnaud\LOCALS~1\Temp\msdot.dll,abcLaunchEv
Pour résoudre le problème, j'ai terminé Ntsock.exe et j'ai renommé msdoa.dll + msdoz.dll + a.dll + b.dll en .old
Prochaine étape : renommer ntsock.exe et .dll
Ensuite, je pense que je tenterai une restauration système.
Le plus grand mystère dans cette histoire c'est : Où et comment je me suis choppé tout ça??
Sujets Similaires: 
