Problème avec surfsidekick

[Gof]

Bonsoir pepi,

 

Tu as bien bossé, mais ce n'est pas terminé. On continue

 

Si tu as déja téléchargé Zone Alarm, installe le comme indiqué dans le tuto. Sinon télécharge le. Il n'est visiblement pas encore installé, je ne le vois pas dans ton log. Je veux le voir dans le prochain, c'est important pour ton pc.

 

Suis cette procédure pour continuer ta désinfection.

 

1. Téléchargement et installation des outils nécessaires.

• Ewido anti-malware d' Ewido Networks - Mets le à jour :
  Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
  Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
  Ferme Ewido. Ne pas le lancer tout de suite.
  Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html
   
   
  
• Télécharge ATF Cleaner par Atribune.
   
   
  
• Télécharge JV16 et mets le dans un dossier. Son tutorial pour l'utiliser correctement : ici.
  

 

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page

 

 

2. Redémarre en mode sans échec :

 

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924

 

 

3. Affichage des fichiers et dossiers cachés.

• Assure toi d'avoir toujours l'accès aux fichiers et dossiers cachés :
  
• Menu Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
  
• Coche la case : Afficher les fichiers et dossiers cachés
  
• Décoche la case : Masquer les extensions des fichiers dont le type est connu
  
• Décoche la case : Masquer les fichiers protégés du système d'exploitation
  ---> Répondre OUI à la demande de confirmation
  
• Clique Appliquer puis OK
  

 

4. Suppression des éléments infectieux.

• Fais une recherche comme indiquée ci dessous :

  Va dans Menu démarrer, Rechercher, Des fichiers ou des dossiers... :
  - Dans Rechercher dans sélectionne Poste de travail
  - clique sur Quand a eu lieu la dernière modification ? et sélectionne Je l'ignore
  - clique sur Quelle est la taille ? et sélectionne Je l'ignore
  - clique sur Options avancées et coche :
  Rechercher dans les dossiers système
  Rechercher dans les fichiers et les dossiers cachés
  Rechercher dans les sous-dossiers
   
  Tu peux t'aider et t'inspirer de l'image que tu trouveras ici

• Recherche ce fichier : wkssvr.exe
  
• Supprime toutes les entrées trouvées (il est probable que tu le retrouves dans le dossier Windows\System32 ou dans Windows)
  
• vide la corbeille.
  

 

5. Correction (FIX) des lignes dans HijackThis.

• Lance un scan HijackThis.
  
• clique sur Do a system scan only et coche les lignes ci-dessous (si présentes ; si elles ne le sont pas l'indiquer dans ton prochain post) :
   
  F2 - REG:system.ini: Shell=Explorer.exe wkssvr.exe
  F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,wkssvr.exe
  O4 - HKLM\..\RunServices: [Windows Kernel System Service] wkssvr.exe
  O4 - HKCU\..\RunServices: [Windows Kernel System Service] wkssvr.exe
  O9 - Extra button: (no name) - AutorunsDisabled - (no file)
  O20 - Winlogon Notify: AutorunsDisabled - C:\windows\
   
   
  
• Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked.
  

 

6. Nettoyage du disque pour préparer et faciliter l'intervention d'EWIDO.

 

Double-cliquer ATF-Cleaner.exe afin de lancer le programme.

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
   
  Pour Firefox
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

Exécute JV16.

• Mets le logiciel en français Preferences > Language > Français > OK.
  Ensuite, Outils registre > menu Outils > nettoyeur de registre.
  Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".
  Clique sur "Continuer" puis sur "Démarrer".
  Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer". Tu peux supprimer toutes les entrées en vert.
  

 

7. Nettoyage complémentaire par EWIDO.

• Lance Ewido et clique sur Scanner
  
• Puis sur l'onglets Settings, pour How to Act sélectionne Quarantine
  
• Reviens a l'onglet Scan et clique sur Complete system Scan, le scan démarre
  
• A la fin clique sur Apply all actions
  
• Puis sur Save report et pour finir Save report as, enregistre sur le Bureau
  

 

8. Redémarrage en mode normal, analyse Blacklight.

 

Redémarre en mode normal.

• Télécharge Blacklight (de F-Secure)
  
• Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
  
• Double-clique blbeta.exe et accepte la licence
  
• Clique Scan puis Next
  
• Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
  
• Copie et colle le contenu de ce rapport dans ta prochaine réponse.
  NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
  

Poste :

• le rapport EWIDO
  
• Un nouveau Log HijackThis (toujours avec celui renommé)
  
• le rapport Blacklight
  

A plus tard.

[pepi]

ok gof j'a beaucoup à faire je vais essayer de faire de mon mieux vite mais suis un peu lente.

à bientôt

[Gof]

Re bonsoir Pepi,

 

Prends le temps de bien lire les instructions et de faire les choses correctement. Je serais là encore un petit peu ce soir, sinon je te dis à demain dans la soirée.

[pepi]

je passe au black light, je n'ai encore pas le son

a bientôt j'espère

[pepi]

voici le rapports

 

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 23:25 06-09-04

 

+ Scan result:

 

 

C:\WINDOWS\RnJhbudvaXM\asappsrv.dll -> Adware.CommAd : Cleaned with backup (quarantined).

C:\WINDOWS\system32\qcdwipes.dll -> Adware.Look2Me : Cleaned with backup (quarantined).

C:\Program Files\Fichiers communs\iqku\iqkud\iqkuc.dll -> Adware.TargetServer : Cleaned with backup (quarantined).

C:\WINDOWS\system32\config\systemprofile\Cookies\system@admarketplace[1].txt -> TrackingCookie.Admarketplace : Cleaned with backup (quarantined).

C:\WINDOWS\system32\config\systemprofile\Cookies\system@ads1.revenue[1].txt -> TrackingCookie.Revenue : Cleaned with backup (quarantined).

C:\WINDOWS\system32\config\systemprofile\Cookies\system@revenue[2].txt -> TrackingCookie.Revenue : Cleaned with backup (quarantined).

C:\WINDOWS\system32\config\systemprofile\Cookies\system@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Cleaned with backup (quarantined).

C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Cleaned with backup (quarantined).

 

 

::Report end

 

 

/04/06 23:39:56 [info]: BlackLight Engine 1.0.46 initialized

09/04/06 23:39:56 [info]: OS: 5.1 build 2600 ()

09/04/06 23:39:56 [Note]: 7019 4

09/04/06 23:39:56 [Note]: 7005 0

09/04/06 23:39:56 [Note]: 7006 0

09/04/06 23:39:56 [Note]: 7011 1316

09/04/06 23:39:56 [Note]: 7026 0

09/04/06 23:39:57 [Note]: 7026 0

09/04/06 23:40:01 [Note]: FSRAW library version 1.7.1019

09/04/06 23:41:17 [Note]: 2000 1006

09/04/06 23:41:17 [Note]: 2000 1006

09/04/06 23:41:17 [Note]: 7007 0

 

 

Logfile of HijackThis v1.99.1

Scan saved at 23:41, on 06-09-04

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\windows\Explorer.EXE

C:\windows\System32\RUNDLL32.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\MSI\Live Update 3\LMonitor.exe

C:\windows\SOUNDMAN.EXE

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\PROGRA~1\UNIVER~1\PDFDriver.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\windows\System32\nvsvc32.exe

C:\windows\System32\svchost.exe

C:\Program Files\Microsoft Office\Office\WINWORD.EXE

C:\WINDOWS\msagent\AgentSvr.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\hijackthis\pepi.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O16 - DPF: {9E214F45-89C2-4DE3-94A9-530EB1D05F7E} - http://www.quest3d.com/Quest3D_WebInstall.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe

 

les deux premières lignes registre que je devais supprimer ne sont pas apparues lors du scan hijack

Merci et à bientôt

Modifié le 4 septembre 2006 par pepi

[Gof]

Bonjour pepi

 

Excellent travail. Mais ce n'est pas fini ; tant que tu n'auras pas de pare-feu, tu risques d'avoir fait tout ça pour rien... Je te renouvelle mon vif conseil d'en installer un de suite.

 

Continue ensuite sur une analyse en ligne avec Panda, qui devrait nous confirmer que le pc est propre ou nous indiquer la présence et l'adresse de quelques restes.

 

Fais un scan en ligne avec Panda. Et poste le rapport qu'il t'affichera à la fin :

• pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici.
  
• Si tu n'y arrives pas, tu trouveras un tuto ici
  
• Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : adresse jetable
  Je t'invite à bien lire le tuto pour comprendre comment sauvegarder le rapport et le poster dans ta prochaine réponse.
  

Poste en même temps que le rapport d'analyse en ligne Panda un nouveau log hijackthis, que je m'assure qu'il n'y ait pas eu de modifications ou de nouvelles entrées, et de la présence de ton pare-feu.

 

Bonne journée, à ce soir.

Modifié le 5 septembre 2006 par Gof

[pepi]

bonsoir Gof , j'ai installé zone alrt avec difficulté cr je ne comprends pas tout mçme avec tuto.Mon problème maintenaint je n'arrive pas a lancer le scan ,j'ai pourtant bien suivi les instructions . Pourrais- tu me dire ce qui ne va pas quand j' arrive a scanner et accepter le click ne marche pas pour terminer et passer a lécran suivant

merci

[Gof]

Bonsoir Pepi

 

Tu dois avoir un souci de configuration quelque part. As tu suivi ces recommandations indiquées dans mon post précédent avant d'effectuer le scan ?

 

Pour commencer, le scan doit se faire avec Internet explorer.

 

En premier, consulte ce lien : Les recommandations pour réussir son scan.

 

En deuxième, consulte ce tutoriel : Scan en ligne avec Panda.

 

As tu toujours des difficultés après avoir suivi les recommandations de ces deux liens (tous deux de Malekal morte) ?

[pepi]

malheureusement OUI!

[Gof]

Bon, on va essayer un autre scan en ligne alors.

 

Essaie celui-ci :

 

Fais un autre scan complet en ligne avec Kaspersky WebScanner : http://webscanner.kaspersky.fr/

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" . Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

Aide toi de ce tuto de Malekal_mortesi tu n'y arrives pas : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566.