Bonjour à tous
Depuis que j'ai installé le service pack quatre de windows 2000 quand j'ouvre mon ordi il y a une fenetre qui apparait et qui dit connot find the file C:\Winnt\ VtTray.exe sa fait la deuxième fois que sa fait ça quelqu'un sait comment faire pour éliminer cette fenetre. merci
windows 2K
-
SyLvErFoX
- Posts: 2039
- Joined: 30 Nov 2006, 00:42
- Location: Latitude : 45°28′38″ Nord Longitude : 75°42′05″ Ouest
Salut, VTTray.exe étant un backdoor ça veut dire que ça fait au moin 2 fois que vous en êtes infecté 
, pour l'instant le fait d'installer le SP4 semble l'avoir neutralisé mais il tente toujours de démarrer d'où le message que vous recevez.
Quoiqu'il en soit vous pouvez esseyez un scan avec SDFix:
http://downloads.andymanchesta.com/Remo ... /SDFix.exe.
Ici le guide d'utilisation:
http://mickael.barroux.free.fr/securite/sdfix.php
Après le scan vous pouvez coller le log du scan ici, pour qu'on voient avec vous si tout est ok.
Comme le .exe semble avoir disparut il n'est plus dangereux mais doit être encore dans les services ou dans dans le système.ini il serait bon de passer un scan de HijackThis:
http://www.infos-du-net.com/telecharger ... 1-454.html
Vous pouvez également coller le log du scan ici, probablement qu'il peut y avoir une ligne semblable à ceci:
"F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe"
Une fois ce problème réglé il serait judicieux pour vous de penser à installer un anti-trojan avec protection en temps réel car ceci n'est peut-être que la pointe du iceberg, votre ordi peut très bien renfermer d'autre surprises...
, pour l'instant le fait d'installer le SP4 semble l'avoir neutralisé mais il tente toujours de démarrer d'où le message que vous recevez.Quoiqu'il en soit vous pouvez esseyez un scan avec SDFix:
http://downloads.andymanchesta.com/Remo ... /SDFix.exe.
Ici le guide d'utilisation:
http://mickael.barroux.free.fr/securite/sdfix.php
Après le scan vous pouvez coller le log du scan ici, pour qu'on voient avec vous si tout est ok.
Comme le .exe semble avoir disparut il n'est plus dangereux mais doit être encore dans les services ou dans dans le système.ini il serait bon de passer un scan de HijackThis:
http://www.infos-du-net.com/telecharger ... 1-454.html
Vous pouvez également coller le log du scan ici, probablement qu'il peut y avoir une ligne semblable à ceci:
"F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe"
Une fois ce problème réglé il serait judicieux pour vous de penser à installer un anti-trojan avec protection en temps réel car ceci n'est peut-être que la pointe du iceberg, votre ordi peut très bien renfermer d'autre surprises...
Jack!!
Peut-être parce-que mon système est anglais windows 2000 pro quand je click droit sur my computer propriété dans propriété système il n'y a pas restauration système n'y de case que je peut désastiver, et aussi quand j'ouvre l'ordi en safe mode l'écran que j'ai c'est écrit safe mode dans les quatre coin de l'écran, l'écran est noir et il y a les icones, j'ai installé sdfix peut-être qu'il ne fonctionne pas. ou peut-être parce que j'ai deux système sur mon ordi windows 2000 pro anglais pour les autres et windows xp média center anglais pour moi.
Peut-être parce-que mon système est anglais windows 2000 pro quand je click droit sur my computer propriété dans propriété système il n'y a pas restauration système n'y de case que je peut désastiver, et aussi quand j'ouvre l'ordi en safe mode l'écran que j'ai c'est écrit safe mode dans les quatre coin de l'écran, l'écran est noir et il y a les icones, j'ai installé sdfix peut-être qu'il ne fonctionne pas. ou peut-être parce que j'ai deux système sur mon ordi windows 2000 pro anglais pour les autres et windows xp média center anglais pour moi.
J'ai fait un scan avec Hijackthis voici le résultat
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:01:20 AM, on 4/21/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\WINNT\Explorer.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\cooptel_acc\cooptel_acccore.exe
C:\WINNT\system32\internat.exe
D:\Program Files\cooptel_acc\cooptel_accgui.exe
D:\Program Files\Opera\Opera.exe
D:\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5400
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - D:\Program Files\cooptel_acc\PBHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - D:\Program Files\cooptel_acc\components\NOWImaging.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SlipStream] "D:\Program Files\cooptel_acc\cooptel_acccore.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Accélérateur CoopTel.lnk = D:\Program Files\cooptel_acc\cooptel_accgui.exe
O8 - Extra context menu item: Afficher l'image originale. - res://D:\Program Files\cooptel_acc\gui_resource.dll/328
O8 - Extra context menu item: Afficher toutes les images originales. - res://D:\Program Files\cooptel_acc\gui_resource.dll/327
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .bcf: C:\Program Files\Internet Explorer\Plugins\NPBelv32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 7228156904
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC72D8B9-7F67-496E-93AF-EC86BDEDC005}: NameServer = 205.205.154.252 205.205.154.251
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: NBService - Nero AG - D:\Program Files\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe
--
End of file - 4463 bytes
Avec trend micro Hijackthis il y a
"F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe"
je ne peut pas metre le reste je ne sais pas comment faire
q'est-ce que je fait avec
J'ai fait un scan avec Hijackthis voici le résultat
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:01:20 AM, on 4/21/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\WINNT\Explorer.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\cooptel_acc\cooptel_acccore.exe
C:\WINNT\system32\internat.exe
D:\Program Files\cooptel_acc\cooptel_accgui.exe
D:\Program Files\Opera\Opera.exe
D:\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5400
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - D:\Program Files\cooptel_acc\PBHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - D:\Program Files\cooptel_acc\components\NOWImaging.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SlipStream] "D:\Program Files\cooptel_acc\cooptel_acccore.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Accélérateur CoopTel.lnk = D:\Program Files\cooptel_acc\cooptel_accgui.exe
O8 - Extra context menu item: Afficher l'image originale. - res://D:\Program Files\cooptel_acc\gui_resource.dll/328
O8 - Extra context menu item: Afficher toutes les images originales. - res://D:\Program Files\cooptel_acc\gui_resource.dll/327
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .bcf: C:\Program Files\Internet Explorer\Plugins\NPBelv32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 7228156904
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC72D8B9-7F67-496E-93AF-EC86BDEDC005}: NameServer = 205.205.154.252 205.205.154.251
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: NBService - Nero AG - D:\Program Files\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe
--
End of file - 4463 bytes
Avec trend micro Hijackthis il y a
"F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe"
je ne peut pas metre le reste je ne sais pas comment faire
q'est-ce que je fait avec
-
SyLvErFoX
- Posts: 2039
- Joined: 30 Nov 2006, 00:42
- Location: Latitude : 45°28′38″ Nord Longitude : 75°42′05″ Ouest
""F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe"
Salut, vous cochez la case à côté à gauche de cette ligne, et, en bas vous cliquez sur FIX CHECKED
J'ai pas le temps d'étudier en profondeur le log là mais en tout cas vite fait là cochez aussi:
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - D:\Program Files\cooptel_acc\components\NOWImaging.dll
Petite question votre ordi est-il sensé être derrière un proxy?
Il y a cette ligne qui m'intrigue un peu:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5400
Et y a d'autres lignes qui font référence à un serveur???
Salut, vous cochez la case à côté à gauche de cette ligne, et, en bas vous cliquez sur FIX CHECKED
J'ai pas le temps d'étudier en profondeur le log là mais en tout cas vite fait là cochez aussi:
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - D:\Program Files\cooptel_acc\components\NOWImaging.dll
Petite question votre ordi est-il sensé être derrière un proxy?
Il y a cette ligne qui m'intrigue un peu:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5400
Et y a d'autres lignes qui font référence à un serveur???
Jack!!
