help : hijack plante!!

[samkim]

bonjour

je suis infecté par un virus assez difficile a éradiquer :

plusieurs applications ne se lancent pas :MSN, winrar, etc...

Si je mets une clé usb ou un aparreil photo ,etc il n'est pas reconnu dans le poste de travail

quand je lance spybot, il se bloque avant la fin du scan

Hijack se bloque lui aussi

j'utilise avast qui m'avait mis certains fichiers en quarantaine:

win 32 agent gps

win32 zbot-abc

win 32 downloader

Coment faire pour m'en sortir??

merci de votre aide

[chrifleur]

bonjour et bienvenue

quel est le message indiqué par hijack this lorsqu'il plante?

si tu ne peux pas le lancer essaie ceci

Télécharge : http://www.evosla.com/pca_cpt.php?agr=pca_securite de Evosla

 

Décompresse le sur ton " Bureau "

Lance l'analyse (en haut à gauche) --- enregistre le rapport généré (en bas à droite)

Le rapport va être positionné sur ton bureau " PCA_LOG.txt " --->publie le dans ta prochaine réponse

[samkim]

merci pour ta réponse

mais jpeux pas me servir du programme que tu m'a donné parce que j'ai winrar qui se lance pas!!

pour hijack, il se lance mais le log se bloque, la barre bleu est quasiment à la fin avec ce message

04 registry ans start menu autoruns

[chrifleur]

tu as essayé clic droit extraire tout (avec l'outil windows)

si tu n'y arrives pas essaie ceci

faire un Scan Antivirus en ligne avec Internet explorer et accepter l'ActiveX

poster le rapport ici ensuite

http://www.pandasecurity.com/homeusers/solutions/activescan/?

[samkim]

c'est bon j'ai réussi à le décompresser

donc voici le rapport de evosla pca:

# PCA Sécurité V 1.2.11, (fichier LOG).

# Rapport du :09/07/2008 23:07:29

Microsoft Windows XP Service Pack 2

 

==>> Processus <==

\SystemRoot\System32\smss.exe

\??\C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Windows Live\Contrôle parental\fssui.exe

C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe

C:\Program Files\Lexmark 1200 Series\lxczbmon.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe

C:\Program Files\OpenOffice.org 2.3\program\soffice.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\GLF14G~1.EXE

C:\PROGRA~1\ONSPEED\instlsp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\Documents and Settings\Administrateur\Bureau\pca.exe

 

//pages de démarrage et de recherche d'Internet Explorer

RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = file://c:/windows/homepage.html

RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = file://c:/windows/homepage.html

RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Liens

R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = file://c:/windows/homepage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = file://c:/windows/homepage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = http://www.google.com/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

//applications lancées depuis system.ini,win.ini

//03 - Browser Helper Objects (BHOs)

02 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

02 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Program Files\ONSPEED\PBHelper.dll

02 - BHO: Windows Live OneCare Family Safety Browser Helper Class - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Contrôle parental\fssbho.dll

02 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

02 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

02 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} -

02 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

02 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Program Files\ONSPEED\components\NOWImaging.dll

02 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar : Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar : ONSPEED - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\Program Files\ONSPEED\Toolband.dll

//04 - applications chargées automatiquement

04 - HKLM\..\RUN: [Google Desktop Search] - "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

04 - HKLM\..\RUN: [QuickTime Task] - "C:\Program Files\QuickTime\QTTask.exe" -atboottime

04 - HKLM\..\RUN: [fssui] - "C:\Program Files\Windows Live\Contrôle parental\fssui.exe" -autorun

04 - HKLM\..\RUN: [Adobe Reader Speed Launcher] - "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

04 - HKLM\..\RUN: [Lexmark 1200 Series] - "C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"

04 - HKLM\..\RUN: [sunJavaUpdateSched] - "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

04 - HKLM\..\RUN: [CloneCDTray] - "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

04 - HKLM\..\RUN: [soundMan] - SOUNDMAN.EXE

04 - HKLM\..\RUN: [slipStream] - "C:\Program Files\ONSPEED\onspeedcore.exe"

04 - HKLM\..\RUN: [NeroFilterCheck] - C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe

04 - HKLM\..\RUN: [NBKeyScan] - "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

04 - HKLM\..\RUN: [avast!] - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

04 - HKLM\..\RUN: [avgnt] - "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

04 - HKCU\..\RUN: [MsnMsgr] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

04 - HKCU\..\RUN: [TrueTransparency] - "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.672\TrueTransparency\TrueTransparency.exe"

04 - HKCU\..\RUN: [spybotSD TeaTimer] - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

04 - HKCU\..\RUN: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"

04 - HKCU\..\RUN: [Picasa Media Detector] - C:\Program Files\Picasa2\PicasaMediaDetector.exe

04 - HKLM\..\RunServices: [MsnMsgr] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

04 - HKLM\..\RunServices: [TrueTransparency] - "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.672\TrueTransparency\TrueTransparency.exe"

04 - HKLM\..\RunServices: [spybotSD TeaTimer] - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

04 - HKLM\..\RunServices: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"

04 - HKLM\..\RunServices: [Picasa Media Detector] - C:\Program Files\Picasa2\PicasaMediaDetector.exe

04 - HKCU\..\RunServices: [MsnMsgr] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

04 - HKCU\..\RunServices: [TrueTransparency] - "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.672\TrueTransparency\TrueTransparency.exe"

04 - HKCU\..\RunServices: [spybotSD TeaTimer] - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

04 - HKCU\..\RunServices: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"

04 - HKCU\..\RunServices: [Picasa Media Detector] - C:\Program Files\Picasa2\PicasaMediaDetector.exe

04 - HKUS\S-1-5-18\..\RunOnce: [LSD_II] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

04 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] - "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.672\TrueTransparency\TrueTransparency.exe"

04 - HKUS\S-1-5-19\..\RunOnce: [LSD_II] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

04 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] - "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.672\TrueTransparency\TrueTransparency.exe"

04 - HKUS\S-1-5-20\..\RunOnce: [LSD_II] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

04 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] - "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.672\TrueTransparency\TrueTransparency.exe"

04 - HKUS\S-1-5-21-854245398-682003330-2147256167-500\..\RUN: [MsnMsgr] - "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

04 - HKUS\S-1-5-21-854245398-682003330-2147256167-500\..\RUN: [TrueTransparency] - "C:\Program Files\QuickTime\QTTask.exe" -atboottime

04 - HKUS\S-1-5-21-854245398-682003330-2147256167-500\..\RUN: [spybotSD TeaTimer] - "C:\Program Files\Windows Live\Contrôle parental\fssui.exe" -autorun

04 - HKUS\S-1-5-21-854245398-682003330-2147256167-500\..\RUN: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

04 - HKUS\S-1-5-21-854245398-682003330-2147256167-500\..\RUN: [Picasa Media Detector] - "C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"

04 - Global Startup: ONSPEED.lnk= C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ONSPEED.lnk

04 - Startup: OpenOffice.org 2.3.lnk= C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk

//05 - Accès au panneau de contrôle d'Internet Explorer (control.ini)

//06- interdiction à l' accès au options (Internet Explorer)

//07 - blocage de l'exécution de Regedit

//08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer

08 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

08 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

//09 - boutons situés sur la barre d'outils principale d'Internet Explorer

09 - Extra button: - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

09 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

09 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

09 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

09 - Extra button: - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

09 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

//O10 - Pirates de Winsock

//O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer)

//O12 - IE plugins

//013 : DefaultPrefix

//014 - Option : (Rétablir les paramètres Web)

//015 - Zone de confiance d'Internet Explorer

//O16 - Objets ActiveX

//O17 - piratage de domaine Lop.com

//O18 - protocoles additionnels

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -

O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

//O19 - feuille de style de l'utilisateur

//O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify

O20 - AppInit_DLLs : C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

//O21 - ShellServiceObjectDelayLoad

//O22 - SharedTaskScheduler

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

//O23 - services de XP,NT, 2000, et 2003

O23 - Service: [service de la passerelle de la couche Application] - %SystemRoot%\System32\alg.exe

O23 - Service: [Avira AntiVir Personal – Free Antivirus Scheduler] - "C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe"

O23 - Service: [Avira AntiVir Personal – Free Antivirus Guard] - "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe"

O23 - Service: [Microsoft ASPI Manager] - C:\WINDOWS\system32\aspimgr.exe

O23 - Service: [ASP.NET State Service] - %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

O23 - Service: [avast! iAVS4 Control Service] - "C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"

O23 - Service: [avast! Antivirus] - "C:\Program Files\Alwil Software\Avast4\ashServ.exe"

O23 - Service: [avast! Mail Scanner] - "C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service

O23 - Service: [avast! Web Scanner] - "C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service

O23 - Service: [] - %SystemRoot%\system32\clipsrv.exe

O23 - Service: [.NET Runtime Optimization Service v2.0.50727_X86] - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

O23 - Service: [Application système COM+] - C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}

O23 - Service: [Windows Live OneCare Contrôle parental] - "C:\Program Files\Windows Live\Contrôle parental\fsssvc.exe"

O23 - Service: [Google Desktop Manager 5.7.712.16009] - "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe"

O23 - Service: [Google Updater Service] - "C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe"

O23 - Service: [service COM de gravage de CD IMAPI] -

O23 - Service: [LexBce Server] - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\system32\msdtc.exe

O23 - Service: [Nero BackItUp Scheduler 3] - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: [NMIndexingService] - "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe"

O23 - Service: [Gestionnaire de session d'aide sur le Bureau à distance] - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: [Localisateur d'appels de procédure distante (RPC)] - %SystemRoot%\system32\locator.exe

O23 - Service: [QoS RSVP] - %SystemRoot%\system32\rsvp.exe

O23 - Service: [spouleur d'impression] - %SystemRoot%\system32\spoolsv.exe

O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\system32\dllhost.exe /Processid:{CFA9DB4E-4E4B-49CB-926A-5674AEA8491F}

O23 - Service: [Journaux et alertes de performance] - %SystemRoot%\system32\smlogsvc.exe

O23 - Service: [Telnet] - C:\WINDOWS\system32\tlntsvr.exe

O23 - Service: [Windows User Mode Driver Framework] - C:\WINDOWS\system32\wdfmgr.exe

O23 - Service: [Onduleur] - %SystemRoot%\System32\ups.exe

O23 - Service: [service Messenger Sharing Folders USN Journal Reader] - "C:\Program Files\Windows Live\Messenger\usnsvc.exe"

O23 - Service: [Cliché instantané de volume] - %SystemRoot%\System32\vssvc.exe

O23 - Service: [Windows Live Setup Service] - "C:\Program Files\Windows Live\installer\WLSetupSvc.exe"

O23 - Service: [Carte de performance WMI] - C:\WINDOWS\system32\wbem\wmiapsrv.exe

 

 

 

merci pour votre aide

[chrifleur]

ok vu!

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

***Si le lien ne fonctionne pas, essaie celui-ci :

http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

 

Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\).

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

· Redémarre ton ordinateur

· Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (F5 sur certains PC), une pression par seconde.

· A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.

· Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".

· Choisis ton compte.

Déroule la liste des instructions ci-dessous :

· Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.

· Appuie sur Y pour commencer le processus de nettoyage.

· Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

· Appuie sur une touche pour redémarrer le PC.

· Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

· Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

· Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

· Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

· Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ! ou PCA si tu n'arrives toujours pas à scanner avec Hijack this

[samkim]

ok jcrois que t'assures comme un chef

voici le rapport sd fix:

 

SDFix: Version 1.204

Run by Administrateur on 10/07/2008 at 15:27

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

Name :

aspimgr

 

Path :

C:\WINDOWS\system32\aspimgr.exe

 

aspimgr - Deleted

 

 

 

Restoring Default Security Values

Restoring Default Hosts File

Restoring Missing Security Center Service

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\WINDOWS\index.html - Deleted

C:\WINDOWS\s32.txt - Deleted

C:\WINDOWS\system32\aspimgr.exe - Deleted

C:\WINDOWS\system32\sft.res - Deleted

C:\WINDOWS\ws386.ini - Deleted

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-10 15:40:54

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Tue 27 May 2008 6,104,632 A..H. --- "C:\Program Files\Picasa2\setup.exe"

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"

Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"

Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

 

Finished!

[samkim]

et voici le rapport hijack car maintenant hijack remarche, msn aussi, winrar idem et j'arrive meme a supprimer les programmes alors qu'avant j'accédais pa al'ajout suppression d eprogramme:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:45:19, on 10/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Lexmark 1200 Series\lxczbmon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ONSPEED\onspeedcore.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

C:\Program Files\ONSPEED\onspeedgui.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe

C:\Program Files\OpenOffice.org 2.3\program\soffice.exe

C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/windows/homepage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = file://c:/windows/homepage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = file://c:/windows/homepage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Cursed IE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Program Files\ONSPEED\PBHelper.dll

O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Contrôle parental\fssbho.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Program Files\ONSPEED\components\NOWImaging.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: ONSPEED - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\Program Files\ONSPEED\Toolband.dll

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Contrôle parental\fssui.exe" -autorun

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [slipStream] "C:\Program Files\ONSPEED\onspeedcore.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [TrueTransparency] "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.672\TrueTransparency\TrueTransparency.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_II] %systemroot%\LSD\lsd.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_II] %systemroot%\LSD\lsd.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_II] %systemroot%\LSD\lsd.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_II] %systemroot%\LSD\lsd.cmd (User 'Default user')

O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe

O4 - Global Startup: ONSPEED.lnk = C:\Program Files\ONSPEED\onspeedgui.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_05) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{8A6E446F-58F5-4332-98B6-D417A8AA6408}: NameServer = 212.30.96.108,213.203.124.146

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: mqperf32 - mqperf32.dll (file missing)

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Desktop Manager 5.7.712.16009 (GoogleDesktopManager-121607-001827) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

 

--

End of file - 9207 bytes

[chrifleur]

pas certaine que cela soit fini

Télécharge MalwareByte

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Installe-le, mets le à jour

 

1) Redémarre ton ordi

2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"

3) Tu verras un écran avec options de démarrage apparaître

4) Choisis la première option : Sans Échec, et valide avec "Entrée"

5) Choisis ton compte habituel, et non Administrateur

 

Redémarre en mode sans échec, copie ou imprime ce qui suit car tu n'auras pas accès à Internet

 

Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.

Sélectionne ton (tes) disques durs.

Lancer l'examen, supprimer tout ce qu'il trouve !

Clique sur Enregistrer le rapport et choisis ton Bureau

poste le rapport obtenu

Modifié le 10 juillet 2008 par chrifleur

[samkim]

voici le rapport de malwarebyte antimalaware:

 

Malwarebytes' Anti-Malware 1.20

Version de la base de données: 935

Windows 5.1.2600 Service Pack 2

 

16:56:50 10/07/2008

mbam-log-7-10-2008 (16-56-50).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 75938

Temps écoulé: 52 minute(s), 47 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 6

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\CLSID\{66186f05-bbbb-4a39-864f-72d84615c679} (Trojan.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.Homepage) -> Bad: (file://c:/windows/homepage.html) Good: (http://www.google.com/) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Secondary_Page_URL (Hijack.Homepage) -> Bad: (file://c:/windows/homepage.html

 

 

 

t'en pense quoi??