Virus / malwares sur mon ordinateur

[wong]

Bonjour samsam1 et Gof,

 

Je suis content que tu ais pu lancer combofix et Look2Me-Destroyer sans avoir la même restriction que pour FixWareout.

 

Il semble que Look2Me-Destroyer t'a redonné tes droits administrateur. Je vais attendre l'avis de Gof pour continuer.

 

En attendant, et pour te faire une procédure pour éliminer Lop.com, fais ceci :

 

Fichier findlopjob

 

1°) Création du fichier findlopjob

 

Faire un copier/coller de la ligne ci-dessous ( dans la zone "Code" ) dans le Bloc-notes ( sans le mot code ).

 

Note: Dans le Bloc-notes, vérifie dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.

Enregistrer le fichier sur le Bureau sous le nom de findlopjob.bat

 

Attention: l'extension doit être .bat , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."

Si l'extension est .bat.txt, renommer le fichier en .bat

 

dir %Windir%\tasks /a h > c:\filelopjob.txt

 

2°) Utilisation du fichier findlopjob.bat

 

Faire un double clic sur findlopjob.bat ( une petite fenêtre à fond noir va apparaître puis disparaître très rapidement ).

 

 

3°) Résultat

 

Copie/Colle le contenu du fichier c:\filelopjob.txt dans ta prochaine réponse.

 

@ +

[samsam1]

bonsoir !

 

voila le contenu du fichier findjoblop.

 

merci beaucoup !

 

Le volume dans le lecteur C s'appelle DSK1_VOL1

Le num‚ro de s‚rie du volume est D8EF-C760

 

R‚pertoire de C:\WINDOWS\tasks

 

16/09/2007 22:54 <REP> .

16/09/2007 22:54 <REP> ..

28/08/2001 14:00 65 desktop.ini

16/09/2007 22:54 6 SA.DAT

2 fichier(s) 71 octets

 

R‚pertoire de C:\Documents and Settings\samladen\Bureau

[wong]

Bonjour samsam1,

 

Ben je vois rien.

 

Il faut Copier/Coller le fichier C:\filelopjob.txt dans ta réponse.

 

Ce fichier recherche la tâche planifiée qui reinjecte Lop. Dans le cas où elle existe, il est necessaire de la supprimer.

 

@ +

[wong]

RE samsam1,

 

Il semblerait qu'il y ait eu un problème, car je ne voyais pas le rapport C:\filelopjob.txt .

 

Tu n'as pas de tâche planifiée.

 

Dès que Gof aura donné son avis, je fais la procédure pour Lop.com.

 

Bonne nuit.

[Gof]

Bonjour tous les 2

 

Tu peux continuer, je te laisse poursuivre.

 

Je cherchais quelque chose avec Combofix que je n'ai pas trouvé. J'ai ensuite demandé un L2me-Destroyer uniquement pour restaurer les droits administrateurs à défaut. L'avantage est qu'il se lance en mode normal et que la manipulation est quasi immédiate, l'inconvénient (comme indiqué dans le rapport) est qu'il restaure un hosts vierge. Le passage de Fixwareout ne devrait plus poser de soucis.

 

Tu pourras faire supprimer (si présents) :

• sur le bureau : Look2Me-Destroyer.exe
  sur le bureau : Look2Me-Destroyer.txt
  sur le bureau : combofix.exe
  à la racine : C:\ComboFix-quarantined-files.txt
  à la racine : C:\Qoofix
  à la racine : c:\Combofix
  à la racine : C:\ComboFix.txt
  

Bonne continuation, bonne journée

[wong]

Bonjour samsam1 et Gof,

 

1°) Supprime les fichiers suivants :

 

sur le bureau : Look2Me-Destroyer.exe

sur le bureau : Look2Me-Destroyer.txt

sur le bureau : combofix.exe

à la racine : C:\ComboFix-quarantined-files.txt

à la racine : C:\Qoofix

à la racine : C:\Combofix

à la racine : C:\ComboFix.txt

 

 

2°) Lance FixWareout :

Ferme toutes les fenêtres de programmes.

• Fais un double clic sur FixWareout.exe pour lancer le programme.
  
• clique sur Next
  
• clique sur Install
  
• Assure toi que "Run fixit" est activé
  
• Clique sur Finish.
  

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur : Fais le.

 

Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

Quand ton système aura redémarré, suis les invites des messages.

 

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

 

Au final, Poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

 

Attention, si ( et seulement si )durant la procedure tu perds ta connexion utilise LSPfix comme cela :

• Démarre LSPfix
  
• Coche "I know what I'm doing"
  
• Clique sur "Finish".
  
• Redémarre ton pc
  

A suivre la procédure pour Lop.com

 

@ +

[samsam1]

bonsoir !

 

voila les rapports demandés :

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:07:53, on 17/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe

C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Messenger Plus! 3\MsgPlus.exe

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\PSCS\data\sysmon32.exe

C:\Program Files\PSCS\data\symserv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\samladen\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {9A80093E-42C0-3B24-10AD-BFB07D6A44D2} - C:\DOCUME~1\samladen\APPLIC~1\ADMINR~1\Flag upload.exe (file missing)

O2 - BHO: (no name) - {C143FC98-DF1E-3F7C-4694-A456B9BFDC1E} - C:\DOCUME~1\samladen\APPLIC~1\ADMINR~1\Flag upload.exe (file missing)

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: (no name) - {4247D6E0-BE58-4B7A-B8F4-D295D8AB4763} - (no file)

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [secondjoysoapmode] C:\Documents and Settings\All Users\Application Data\LiveDrvSecondJoy\heartdata.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [regapp32] C:\WINDOWS\system32\regapp32.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: STK014 PNP Monitor.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe

O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

 

--

End of file - 7582 bytes

 

 

 

ET LE DEUXIEME :

 

 

Username "samladen" - 17/09/2007 21:45:18 [Fixwareout edited 9/01/2007]

 

~~~~~ Prerun check

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{1DB41D84-B740-4ACC-BB93-E86AE257C709}

"DhcpNameServer"="85.255.115.101,85.255.112.173" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{CB5FA6A9-BF45-4635-ABB8-0298A6AAFDDD}

"DhcpNameServer"="85.255.115.101,85.255.112.173" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{CE763F31-B39C-4D97-8885-19A9C0B9D0CB}

"DhcpNameServer"="85.255.115.101,85.255.112.173" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{D2D24CB3-8A56-4334-B643-EE8621E8E74B}

"DhcpNameServer"="85.255.115.101,85.255.112.173" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{D46E76DC-F512-491D-A5ED-C236193F4F27}

"DhcpNameServer"="85.255.115.101,85.255.112.173" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{D88229FC-ABD2-4F62-927E-03939634675A}

"DhcpNameServer"="85.255.115.101,85.255.112.173" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{DCCDF136-9415-4C10-BF71-CE88B6FA963F}

"DhcpNameServer"="85.255.115.101,85.255.112.173" <Value cleared.

 

Cache de résolution DNS vidé.

 

 

System was rebooted successfully.

 

~~~~~ Postrun check

HKLM\SOFTWARE\~\Winlogon\ "system"=""

....

....

~~~~~ Misc files.

....

~~~~~ Checking for older varients.

....

 

~~~~~ Current runs (hklm hkcu "run" Keys Only)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"VirtualCloneDrive"="\"C:\\Program Files\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe\" /s"

"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"

"SoundMan"="SOUNDMAN.EXE"

"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

"MessengerPlus3"="\"C:\\Program Files\\Messenger Plus! 3\\MsgPlus.exe\""

"EM_EXEC"="C:\\PROGRA~1\\Logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"

"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"

"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"

"OpwareSE2"="\"C:\\Program Files\\ScanSoft\\OmniPageSE2.0\\OpwareSE2.exe\""

"secondjoysoapmode"="C:\\Documents and Settings\\All Users\\Application Data\\LiveDrvSecondJoy\\heartdata.exe"

"REGSHAVE"="C:\\Program Files\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"

"Zone Labs Client"="\"C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

"regapp32"="C:\\WINDOWS\\system32\\regapp32.exe"

"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"

"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVG7\\avgcc.exe /STARTUP"

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WOOKIT"="C:\\PROGRA~1\\Wanadoo\\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM="

"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

....

Hosts file was reset, If you use a custom hosts file please replace it...

~~~~~ End report ~~~~~

 

 

merci

[wong]

Bonsoir samsam1,

 

Bien content que tu ais pu lancer FixWareout qui a fait son travail.

 

NOTE :

 

Etant donné la longueur de la procédure, je te conseille de l'imprimer ( ou de sélectionner toutes les lignes, puis de copier cette sélection dans un fichier texte sur ton PC ).

En mode sans échec tu n'auras pas accès à Internet.

 

Il faut exécuter toutes les étapes sans interruption, dans l'ordre exact indiqué ci-dessous. Si tu ne comprends pas un élément, demande des explications avant de commencer la désinfection.

 

Cette procédure doit être effectuée en ayant ouvert ta session normale : ton nom "Administrateur" ( ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).

 

Prends ton temps, et fais-le calmement. La procédure n'est pas compliquée.

 

 

1°) Démarrer > Panneau de configuration > Ajout/Suppression de programmes :

 

Vérifie si CiD Help est présent. Si OUI : Clique sur Supprimer pour le désinstaller ( tu auras un imprimé à remplir )

 

 

2°) Téléchargement d'utilitaires :

 

 

2-1 Télécharge ATF Cleaner par Atribune : http://www.atribune.org/ccount/click.php?id=1

 

 

2-2 Télécharge AVG Anti-Spyware de ewido/grisoft : http://www.ewido.net/en/download/

• Lance le depuis l'icône presente sur ton bureau.
  
• Clique sur modifier l'état du bouclier résident et mise à jour automatique, pour désactiver ces deux fonctions.
  
• Clique sur mise à jour, commencer la mise à jour.
  
• Clique sur analyse puis sur paramètres.
  
• Clique sur actions recommandées puis sur quarantaine.
  
• Ferme le programme.
  

 

3°) Vérifie d'avoir accès à tous les fichiers :

 

 

Démarrer > Poste de travail ou autre dossier > Menu Outils > Option des dossiers > Onglet Affichage :

• Coche le bouton devant : Afficher les fichiers et dossiers cachés
  
• Décoche la case : Masquer les extensions des fichiers dont le type est connu
  
• Décoche la case : la case : Masquer les fichiers protégés du système d'exploitation
  
• Clique sur : Appliquer à tous les dossiers
  

 

4°) Création du fichier tuer-lop.reg

• Faire un copier/coller des lignes ci-dessous ( dans la zone "Code" ) dans le Bloc-notes.
  Note: Dans le Bloc-notes, vérifie dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
  
• Enregistrer le fichier sous le nom de tuer-lop.reg
  Attention : Il y a une ligne blanche après la dernière ligne
  
• L'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
  Si l'extension est .reg.txt, renommer le fichier en .reg
   
  

  REGEDIT4 
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
  "secondjoysoapmode"=-

  
   
   
  5°) Redémarre en mode sans échec
   
  Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure.
  

  • 
    
  • Clique sur Démarrer
    
  • Clique sur Arrêter l'ordinateur
    
  • Dans la fenêtre qui s'ouvre : clique sur " Redémarrer "
    
  • Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
    
  • Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul )
    
  • Appui dur la touche " ENTRÉE "
    
  • Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ).
    
  • Clique sur ta session normale : ton nom (Administrateur )
    
  • Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI
    

  Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php

   

   

   

  5.1 - Désinstallations

   

  Démarrer > Panneau de configuration > Ajout/Suppression de programmes :

   

  a) MSN Plus ! est présent : Clique sur Supprimer, et Coche : Désinstaller

   

  Note: Tu pourras le réinstaller après désinfection, s'il t'est indispensable, mais à condition de ne pas installer le/les sponsors.

   

   

   

  5.2 - Exécute le fichier tuer-lop.reg

   

  Faire un clic droit sur "tuer-lop.reg", puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le registre.

   

   

   

  5.3 - Nettoyage avec HijackThis

   

  Lance un scan HijackThis : Clique sur Do a system scan only et coche les lignes ci-dessous :

   

  O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

  O2 - BHO: (no name) - {9A80093E-42C0-3B24-10AD-BFB07D6A44D2} - C:\DOCUME~1\samladen\APPLIC~1\ADMINR~1\Flag upload.exe (file missing)

  O2 - BHO: (no name) - {C143FC98-DF1E-3F7C-4694-A456B9BFDC1E} - C:\DOCUME~1\samladen\APPLIC~1\ADMINR~1\Flag upload.exe (file missing)

  O3 - Toolbar: (no name) - {4247D6E0-BE58-4B7A-B8F4-D295D8AB4763} - (no file)

  O4 - HKLM\..\Run: [secondjoysoapmode] C:\Documents and Settings\All Users\Application Data\LiveDrvSecondJoy\heartdata.exe

  O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

   

  Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis.

   

   

   

  5.4 - Suppressions manuelles :

   

  Dans Poste de travail > Disque local C :

   

  Supprime les fichiers/dossiers suivants s'ils sont présents :

   

  C:\Documents and Settings\All Users\Application Data\LiveDrvSecondJoy\heartdata.exe <== ce fichier en rouge

  C:\Documents and Settings\All Users\Application Data\LiveDrvSecondJoy <== ce dossier en rouge

   

   

   

  5.5 - Vide le contenu de la corbeille :

   

   

   

  5.6 - Masque les fichiers/dossiers cachés ou protégés

   

  Décoche le bouton, et recoche les cases ( voir en 3° )

   

   

   

  6°) AVG Anti-Spyware

   

   

  6.1 - Nettoyage pour utiliser AVG Anti-Spyware

   

  Procedure préalable à l'utilisation d'AVG Anti-Spyware : Très important pour bien supprimer les fichiers tmp ,cookies et autres, pour une meilleure lecture du rapport d'AVG Anti-Spyware.

   

  Double-clique ATF Cleaner.exe afin de lancer le programme.

  • Main correspond à IE
    
  • Sous l'onglet Main, choisis : Select All
    
  • Clique sur le bouton Empty Selected
    

  Si tu utilises le navigateur Firefox :

  • Clique Firefox au haut et choisis : Select All
    
  • Clique le bouton Empty Selected
    
  • NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
    

  Si tu utilises le navigateur Opera :

  • Clique Opera au haut et choisis : Select All
    
  • Clique le bouton Empty Selected
    
  • NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
    

  Clique Exit, du menu principal, afin de fermer le programme.

   

   

   

  6.2 - Lance AVG Anti-Spyware

   

  Clique sur scanner, puis sur scan complet du système.

   

   

  Si des fichiers malveillants sont trouvés :

  • Clique sur Appliquer toutes les actions
    
  • Clique sur enregistrer le rapport d'analyse.
    
  • Colle le rapport dans ton prochain message
    

   

  Pour t'aider tu as deux tutos à ta disposition:

  • ATFCleaner: http://pitcatsite.ovh.org/html/ATFCleaner.html
    
  • AVG Anti-Spyware: http://pitcatsite.ovh.org/html/avg_a-s.html
    

   

  7°) Redémarre en mode normal

   

   

  Lance HijackThis

   

  Copie/Colle un nouveau rapport HijackThis dans ta réponse

   

   

  J'attends 2 rapports ( celui de AVG AS et celui de HijackThis ).

   

   

  @ +

[samsam1]

bonjour !

 

jai effectué toutes les taches ke tu ma demander sauf pour :

_le nettoyage hijackthis, je nai pa trouvé O4 - HKLM\..\Run: [secondjoysoapmode] C:\Documents and Settings\All Users\Application Data\LiveDrvSecondJoy\heartdata.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

_je nai pa AFT Cleaner.exe je nai donc pa pu faire le nettoyage...

 

mai jai continué et jai les 2 rapports .

les voici :

 

avg as

 

 

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 17:31:57 18/09/2007

 

+ Résultat de l'analyse:

 

 

 

C:\Documents and Settings\samladen\Mes documents\Mes documents\Mes documents\Messenger Plus! - Setup.exe/70000011.exe -> Downloader.Swizzor.af : Nettoyé.

C:\Documents and Settings\samladen\Mes documents\Mes documents\Messenger Plus! - Setup.exe/70000011.exe -> Downloader.Swizzor.af : Nettoyé.

:mozilla.8:C:\Documents and Settings\samladen\Application Data\Mozilla\Firefox\Profiles\h0ml847x.default\cookies.txt -> TrackingCookie.Netflame : Nettoyé.

:mozilla.51:C:\Documents and Settings\samladen\Application Data\Mozilla\Firefox\Profiles\h0ml847x.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.52:C:\Documents and Settings\samladen\Application Data\Mozilla\Firefox\Profiles\h0ml847x.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.53:C:\Documents and Settings\samladen\Application Data\Mozilla\Firefox\Profiles\h0ml847x.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.54:C:\Documents and Settings\samladen\Application Data\Mozilla\Firefox\Profiles\h0ml847x.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.55:C:\Documents and Settings\samladen\Application Data\Mozilla\Firefox\Profiles\h0ml847x.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.56:C:\Documents and Settings\samladen\Application Data\Mozilla\Firefox\Profiles\h0ml847x.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.34:C:\Documents and Settings\samladen\Application Data\Mozilla\Firefox\Profiles\h0ml847x.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.

 

 

Fin du rapport

 

 

 

Hijackthis

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:43:03, on 18/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe

C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\PSCS\data\sysmon32.exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Program Files\PSCS\data\symserv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\samladen\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [regapp32] C:\WINDOWS\system32\regapp32.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: STK014 PNP Monitor.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe

O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

 

--

End of file - 7269 bytes

[wong]

Bonsoir samsam1,

 

Tu as bien travaillé. On passe à la suite.

 

Il y a 2 fichiers dont j'ai un doute :

C:\Program Files\PSCS\data\sysmon32.exe <== surtout celui-ci

C:\Program Files\PSCS\data\symserv.exe

 

On va vérifier :

 

Clique sur cette adresse => http://www.virustotal.com/en/indexf.html

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre => parcours ton disque dur , et recherche le fichier sysmon32.exe que tu trouveras en allant dans le dossier C:\ Program Files\PSCS\data

 

Tu cliques une fois sur le fichier sysmon32.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .

Le scan de ce fichier va débuter, patiente bien jusqu'à la fin du scan.

Tu n'as plus qu'à sélectionner puis Copier/Coller l'analyse dans ta prochaine réponse ( dans le cas où aucun malware n'est trouvé, tu me l'indique simplement ).

 

Tu fais la même chose avec le fichier symserv.exe ( c'est dans le même dossier ).

 

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser)

 

 

Analyse aussi ces deux fichiers chez Jotti : http://virusscan.jotti.org/

C'est le même principe.

 

 

@ +