[Résolu] Suppression de IE

[gayboyfr]

le probleme c'est que j'ai formaté en juin et que j'ai déjà des merdes sur l'ordi

 

N'oublie pas que le meilleur antivirus reste la prudence !

[Zonk]

Remettre un ordi en bon état peut etre assez long.....et le "scrapper" peut prendre seulement quelques téléchargements nocifs et quelques clics de souris...donc en quelques minutes

Modifié le 23 décembre 2006 par Zonk

[tcherNo]

Remettre un ordi en bon état peut etre assez long.....et le "scrapper" peut prendre seulement quelques téléchargements nocifs et quelques clics de souris...donc en quelques minutes

 

 

Comme beaucoup de choses

[angelique]

tcherNo,

en attendant qu'un conseiller secu vienne regarder ton post!

*Télécharge lopremover : http://clairvoyant.p2pforum.it/tools/lopremover.zip. Dézippe-le mais ne l'exécute pas tout de suite.

 

*Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 ici:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd

Dans le menu, sélectionne 1 et poste le rapport Stp

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

*Télécharge

 

- AVG anti spyware --> http://www.ewido.net/en/download/

- Fais la mise à jour mais ne l'execute pas de suite.

 

*Télécharge F-Secure Blacklight : https://europe.f-secure.com/exclude/blacklight/index.shtml

 

https://europe.f-secure.com/exclude/blacklight/blbeta.exe

 

Lance-le en double-cliquant sur le fichier blbeta.exe

Accepte la licence, et clique enfin sur "Scan"

- Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log en l'ouvrant avec le bloc-note.

-n'utilises pas la fonction rename car certains fichiers sont legitimes

 

 

_________________________

 

Bruce lee ("soir ^^) que je vois sur le post regardera tes rapports blbeta et smitfraudfix

[tcherNo]

Blacklight ::

12/23/06 21:23:08 [info]: BlackLight Engine 1.0.47 initialized

12/23/06 21:23:08 [info]: OS: 5.1 build 2600 (Service Pack 2)

12/23/06 21:23:08 [Note]: 7019 4

12/23/06 21:23:08 [Note]: 7005 0

12/23/06 21:23:11 [Note]: 7006 0

12/23/06 21:23:11 [Note]: 7011 1740

12/23/06 21:23:11 [Note]: 7026 0

12/23/06 21:23:11 [Note]: 7026 0

12/23/06 21:23:21 [Note]: FSRAW library version 1.7.1020

 

Avast vient de me dire que j'ai un virus provenant de "p2pforum" (lopremover) :S

 

SmitFraudFix v2.131

 

Rapport fait à 21:32:53,44, 23/12/2006

Executé à partir de C:\Documents and Settings\Valent1\Bureau\SmitfraudFix

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Valent1

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Valent1\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Valent1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="nvdesk32.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[angelique]

*pour lopremover c'est normal!

 

*fais analyser chez jotti le fichier en gras (affiche dossier et fichiers cachés)

 

http://virusscan.jotti.org/

 

c:\windows\system32\nvdesk32.dll

 

dll de nvidia display driver à verifier!! et poste le rapport (en copiant collant les ligne de la page suite à l'analyse)

[tcherNo]

J'ai pas tres bien compris Jutti ^^

 

Last file scanned at least one scanner reported something about: spack.exe (MD5: 695d27bcab36f0b61e0835361bb3b7f2), detected by:

 

Scanner Malware name

AntiVir X

ArcaVir X

Avast Win32:Ldpinch-LO

AVG Antivirus X

BitDefender X

ClamAV X

Dr.Web X

F-Prot Antivirus X

F-Secure Anti-Virus X

Fortinet X

Kaspersky Anti-Virus X

NOD32 X

Norman Virus Control X

VirusBuster X

VBA32 X

 

Je sais pas si c'est sencé ressembler à ça ...

 

POur ce qui est de c:\windows\system32\nvdesk32.dll

 

Je n'ai pas l'impression qu'il existe mais je pourrais scanner plus tard les fichiers nvidia car le site est "complet"

 

EDIT : J'éteint l'ordi, je reviens demain

Merci pour vos réponses ...

Modifié le 23 décembre 2006 par tcherNo

[angelique]

1/ tu vas chez jotti, onglet "browse" et tu vas selectionner ta dll nvdesk32.dll dans system32 et tu clic "submit"

 

 

2/tu selectionnes tout comme sur capture ci dessous une fois le scan terminé,clic copy ou copier ,puis coller ici sur le forum

 

 

[tcherNo]

Okk!

 

Le truc c'est que je n'ai pas de nvdesk32.dll dans le system 32...

Comme tu m'as dis que c'était un fichier de Nvidia je peux vous donner les scans de ceux-là:

 

Service load:

0% 100%

File: nvappbar.exe

Status:

OK

MD5 9652a77db62e4d5297e6bd4ba5234033

Packers detected:

-

Scanner results

AntiVir

Found nothing

ArcaVir

Found nothing

Avast

Found nothing

AVG Antivirus

Found nothing

BitDefender

Found nothing

ClamAV

Found nothing

Dr.Web

Found nothing

F-Prot Antivirus

Found nothing

F-Secure Anti-Virus

Found nothing

Fortinet

Found nothing

Kaspersky Anti-Virus

Found nothing

NOD32

Found nothing

Norman Virus Control

Found nothing

VirusBuster

Found nothing

VBA32

Found nothing

Service load:

0% 100%

File: nvcolor.exe

Status:

OK

MD5 c1329efbe420ad50b9b39c41e06b4f87

Packers detected:

-

Scanner results

AntiVir

Found nothing

ArcaVir

Found nothing

Avast

Found nothing

AVG Antivirus

Found nothing

BitDefender

Found nothing

ClamAV

Found nothing

Dr.Web

Found nothing

F-Prot Antivirus

Found nothing

F-Secure Anti-Virus

Found nothing

Fortinet

Found nothing

Kaspersky Anti-Virus

Found nothing

NOD32

Found nothing

Norman Virus Control

Found nothing

VirusBuster

Found nothing

VBA32

Found nothing

Service load:

0% 100%

File: nvdspsch.exe

Status:

OK

MD5 540535facd194b308b562284d823cb04

Packers detected:

-

Scanner results

AntiVir

Found nothing

ArcaVir

Found nothing

Avast

Found nothing

AVG Antivirus

Found nothing

BitDefender

Found nothing

ClamAV

Found nothing

Dr.Web

Found nothing

F-Prot Antivirus

Found nothing

F-Secure Anti-Virus

Found nothing

Fortinet

Found nothing

Kaspersky Anti-Virus

Found nothing

NOD32

Found nothing

Norman Virus Control

Found nothing

VirusBuster

Found nothing

VBA32

Found nothing

Service load:

0% 100%

File: nwiz.exe

Status:

OK

MD5 67a8dd30af82e412cb4bf1b6d1623809

Packers detected:

-

Scanner results

AntiVir

Found nothing

ArcaVir

Found nothing

Avast

Found nothing

AVG Antivirus

Found nothing

BitDefender

Found nothing

ClamAV

Found nothing

Dr.Web

Found nothing

F-Prot Antivirus

Found nothing

F-Secure Anti-Virus

Found nothing

Fortinet

Found nothing

Kaspersky Anti-Virus

Found nothing

NOD32

Found nothing

Norman Virus Control

Found nothing

VirusBuster

Found nothing

VBA32

Found nothing

 

Est ce normal que je ne le trouve pas meme avec les fichiers cachés?

 

 

 

 

Sur-ce je m'en va au cinéma!

Et joyeux noel

[angelique]

tes pop ups sont certainement du à eorezo!!

 

Procédure

 

1/*supprime bleba et son rapport, ainsi que smitfraudfix

 

*telecharges et installes:

 

- AtfCleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe <---met le sur ton bureau

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

*desinstalle via ajout/supp de programmes eoRezo

 

*executer

 

services.msc

 

double clic sur cette ligne de service notée ci dessous, met "type de demarrage" sur désactivé, et clic "arreter"

 

France Telecom Routing Table Service (FTRTSVC)

 

*relance hijackthis " do a system scan only" et coche uniquement puis clic fix checked:

 

O2 - BHO: (no name) - {45A7264F-E5F9-001C-0ED2-3A76BE410A34} - (no file)

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL

O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\eoRezo\EoEngine.exe"

O4 - HKLM\..\Run: [oneglobalbuildtwo] C:\Documents and Settings\All Users\Application Data\Drv License One Global\Setupstyle.exe

O4 - HKCU\..\Run: [Roam Hold] C:\DOCUME~1\Valent1\APPLIC~1\MFCDSI~1\Type Amok Anti.exe

Toutes les 018 SAUF les 3 dernieres

 

2/*Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

 

 

 

*executer

 

regedit

 

supprime le fichier en gras:

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\FTRTSVC

 

*supprime le fichier en gras de ton systeme via ton explorateur windows (tu as precedemment pensé à afficher dossiers et fichiers cachés)

 

C:\Documents and Settings\All Users\Application Data\Drv License One Global

C:\DOCUME~1\Valent1\APPLIC~1\MFCDSI~1

C:\Program Files\eoRezo

C:\WINDOWS\System32\FTRTSVC.exe

 

DOCUME~1 c'est documents and settings

APPLIC~1 c'est application data

 

***A présent, il faut éxécuter le logiciel Lopremover

 

Utilisation de Lopremover :

Une fois le logiciel lancé, inserez les chiffres dans la case, puis cliquez sur "UNINSTALL"

 

*Nettoie ton système avec Jv16 powertools, Easycleaner et ATF-cleaner

 

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

 

Jv16 powertools

 

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

Fais un scan avec avg:

 

AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Re-clique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier est infecté détécté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

3/reboot en mode normal et reposte un nouveau log hijackthis ainsi que le rapport de AVG antispyware

 

nb: supprime lopremover, le .zip et le dossier dezippé