gestionnaire tâches inactif - hijackthis

[GLOURK]

j'ai été infecté par un virus tout récemment (Win32/TrojanProxy.Small.NDB). Les multiples manip effectuées, (scans en ligne, réinstall XP, SmitFraudfix, FindyKill, AD-Remover, etc) ont semble-t'il, abouti = fin des tentatives connexions intempestives à Internet , scan avec Nod32 et AVG propres.

Toutefois, je n'arrive toujours pas à ouvrir le gestionnaire des tâches (pas même en faisant Ctrl Alt Sup).

Quand je veux exécuter Taskmgr.exe directement depuis C:\Windows\system32, j'ai un message d'erreur me disant que windows ne trouve pas le fichier Taskmgr.exe alors même que j'ai fait un double clic dessus !

J'ai essayé une soluce trouvée sur un forum, à savoir changer une valeur de la base de registre : Hkey_current_user\software\microsoft\Windows\CurrentVersion\Policies\Systemdisable -> mettre TaskMgr à 0 mais la clé en question ne figure même pas dans ma basede registre.

Je mets ci-dessous le rapport HiJackThis en espérant que l'un d'entre vous puisse me dire quoi faire.

Merci d'avance

Glourk

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:52:01, on 05/03/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\vsnpstd.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Saitek\Software\Profiler.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\PestPatrol\PPActiveDetection.exe

C:\Program Files\Alcohol Soft\Alcohol 120\Alcohol.exe

C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\PROGRA~1\CONTRO~1\bin\optgui.exe

C:\Program Files\UTILITAIRES\Unlocker\UnlockerAssistant.exe

C:\Program Files\Realtek\REALTEK DVB-T USB DEVICE\IR_SERVER.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Eset\nod32krn.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Controle Parental\bin\optproxy.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\AVG\AVG8\avgam.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Christophe\Mes documents\Téléchargements\Flashget\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.fr/nwshp?hl=fr&ie=UTF-8&tab=wn

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe

O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\PestPatrol\PPActiveDetection.exe"

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [Alcohol.exe Autorun] C:\Program Files\Alcohol Soft\Alcohol 120\Alcohol.exe /startup

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [OPTENET_GUI] C:\PROGRA~1\CONTRO~1\bin\optgui.exe

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\UTILITAIRES\Unlocker\UnlockerAssistant.exe" -H

O4 - HKLM\..\Run: [iR_SERVER] C:\Program Files\Realtek\REALTEK DVB-T USB DEVICE\IR_SERVER.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe

O4 - HKLM\..\Run: [Printspooler] C:\Program Files\spooler.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [Microsoft appswitch] C:\WINDOWS\system32\jwt32.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_ansi.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/as...rl/SymAData.cab

O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB

O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://www.miniclip.com/games/ricochet-los...bGameLoader.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1119473246453

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab2.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1203176225484

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap/jsp/c...r/mmsPlayer.cab

O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab

O16 - DPF: {9600F64D-755F-11D4-A47F-0001023E6D5A} (Shutterfly Picture Upload Plugin) - http://web1.shutterfly.com/downloads/Uploader.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.wisup.net/_plateforme/Upload/Au...eUploader35.cab

O16 - DPF: {A90F4F01-CAA6-4A13-82ED-C3272CC8841B} (UploadPhoto.IconeaAX) - http://www.iconea.fr/apps/TransfertDePhoto_IconeaX.CAB

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/vir...5/installer.exe

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/p...obat/nos/gp.cab

O16 - DPF: {D1548A26-B8F6-4E86-AE74-E7062CCC2E2A} (igLoader Content on Demand) - http://www.miniclip.com/igloader/igloader.CAB

O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/in...l/installer.exe

O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.photostation.fr/aurigma/ImageUploader4.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{952A0156-87B0-4C72-A664-F616E742FD33}: NameServer = 192.168.1.1,84.103.237.140

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Orange Contrôle Parental (OPTENET_FILTER) - Orange - C:\Program Files\Controle Parental\bin\optproxy.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\UTILITAIRES\TuneUp Utilities 2004\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O24 - Desktop Component 0: (no name) - C:\Documents and Settings\Christophe\Mes documents\Mes Images\ANIMGIFS\Cartoons\bugs bunny.gif

 

--

End of file - 15446 bytes

[pear]

Bonjour,

 

essayez ceci:

 

Copiez-Collez dans le bloc-notes ce qui suit,

enregistrez sous un nom quelconque avec extension.reg et fusionnez(clic droit).

Pas de ligne blanche avant ce qui suit.

Windows Registry Editor Version 5.00

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=dword:00000000

"**del.DisableTaskMgr"=" "

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\]

"DisableTaskMgr"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"DisableCAD"=dword:00000000

 

autre possibilité, utiliser Process Explorer

 

http://speedweb1.free.fr/frames2.php?page=outils7

 

Sinon, en console de récupération:

 

Réparer un fichier système endommagé

cd c:\

cd windows

cd system32

ren taskmgr.exe taskmgr.old

expand e:\i386\taskmgr.ex_ c:\windows\system32\taskmgr.exe

Modifié le 5 mars 2009 par pear

[GLOURK]

Bonjour,

 

essayez ceci:

 

Copiez-Collez dans le bloc-notes ce qui suit,

enregistrez sous un nom quelconque avec extension.reg et fusionnez(clic droit).

Pas de ligne blanche avant ce qui suit.

Windows Registry Editor Version 5.00

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=dword:00000000

"**del.DisableTaskMgr"=" "

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\]

"DisableTaskMgr"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"DisableCAD"=dword:00000000

 

autre possibilité, utiliser Process Explorer

 

http://speedweb1.free.fr/frames2.php?page=outils7

 

Sinon, en console de récupération:

 

Réparer un fichier système endommagé

cd c:\

cd windows

cd system32

ren taskmgr.exe taskmgr.old

expand e:\i386\taskmgr.ex_ c:\windows\system32\taskmgr.exe

[angelique]

• desinstalle Nod32 ou AVG8 , ne garde qu'un seul antivirus

 

• Télécharge OTMoveIt3 de OldTimer

http://oldtimer.geekstogo.com/OTMoveIt3.exe

 

* Enregistre-le sur ton bureau

* Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)

* Copie-colle l'entièreté de ceci, le contenu du cadre uniquement à partir de :processes jusqu'en bas de l'ascenceur ; dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) :

 

 

:processes
explorer.exe

:files
C:\WINDOWS\system32\jwt32.exe
C:\Program Files\spooler.exe

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft appswitch"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Printspooler"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\New Windows]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
"IconStreams"=-
"PastIconsStream"=-

:commands
[zipfiles]
[emptytemp]

 

 

* Clique sur le bouton rouge Moveit! pour lancer le nettoyage, accepte le redemarrage.

* Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche avec un nouveau rapport HijackThis

--> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)

 

*un fichier zip a été crée là: C:\ _OTMoveIt\MovedFiles , envoie le là stp: http://upload.malekal.com/

comment faire: http://www.malekal.com/tuto_upload_fichiers.php

[Milou']

Bonjour Glourk,

 

J'ai passé 2 jours à essayer de me défaire d'un problème inextricable très comparable au vôtre.

Et je suis ENFIN parvenu à m'en défaire sans dommages.

 

Les symptomes étaient les suivants :

 

- Blocage des mises des signatures virales de mon antivirus (BitDefender)

- Blocage des mises à jour des signatures virales de SpyBot S&D

- Ouverture impossible de MalwareBytes Antimalware (malgré deux désinstallations/installations)

- Blocages des sites d'éditeurs d'antivirus/antimalware par l'affichage d'une page 404 systématique...

- Blocage du Gestionnaire de Tâches

- Blocage des Restaurations de Windowsz XP

- Détournement des sites proposés par les recherches Google : tous les liens renvoyant à des sites publicitaires...

- Disparition du lien "Page en cache" des pages Google (signe visible d'une attaque de type "Google Redirect")

- Lenteur délirante sous Firefox/Internet Explorer, ainsi que ralentissement notable du PC.

 

Je ne pouvais donc rien faire puisque je ne pouvais mettre à jour les signatures virales, ne pouvait lancer certains logiciels de sécurité, et ne pouvais télécharger des versions d'essai d'antivirus/antispyware d'autres éditeurs...

 

Au cours de mes recherches sur un autre ordinateur non infecté, j'ai pu constater sur nombre de forums (francais, anglais et espagnols) que ce type d'attaques faisait rage, surtout depuis janvier/février 2009. Le nombre de cas est assez impressionnant...

 

Sur ces forums, nombre de techniques (dont Hijackthis), manipulations de la base de registre hasardeuses et suppression de fichiers système infectés se sont souvent terminées par une aggravation du(des) problèmes, voire par un reformatage après X tentatives infructueuses...

 

Puis je suis tombé sur un forum US (je n'ai plus le lien...) dont un membre recommandait l'utilisation des versions portables de Spybot puis de MalwareBytes Antimalware (que l'on peut trouver facilement sur Internet). Il recommandait aussi l'utilisation de DrWeb CureIt.

 

Cet intervenant expliquait qu'il était très facilement arrivé à bout de ses problèmes comparables aux notres grâce à ces trois logiciels installés sur une clé USB.

 

J'ai suivi ses conseils, et suis ENFIN arrivé à bout des infections qui pourrissaient mon PC.

 

Je vous propose ceci :

 

1) Téléchargez et lancer un scan avec DrWeb CureIt

 

Les dernières signatures virales sont incluses dans l'exécutable de lancement, ce qui évite de se voir bloqué par un virus ou malware neutralisant l'accès aux mises à jour. Donc pour chaque désinfection via DrWeb, il FAUT télécharger la DERNIERE version puisqu'elle comprend les DERNIERES signatures virales. La version d'hier n'est donc plus la même que celle d'aujourd'hui !

 

DrWeb m'a déjà permis d'identifier les virus/malwares qui infectaient mon PC, chose que je ne pouvais pas faire auparavant puisque mes autres logiciels installés sur le disque dur infecté étaient bloqués, ou partiellement neutralisés.

 

Il s'agissait de "iamfamous.dll" (effacé par DrWeb) qui désactivait via la base de registre le centre de sécurité de Windows (clé AntiVirusOverride), et autres logiciels de sécurité. Puis d'un autre virus de la nombreuse famille des "Google Redirect", qui redirigent toutes vos requêtes Google vers d'autres sites publicitaires...

 

DrWeb n'a pas pu se défaire du "Google Redirect" mais a bien identifié le problème, ce qui était déjà un grand pas !

 

2) Versions portables de SpyBot + Malwarebytes Antimalware.

 

Sur un ordinateur sain, téléchargez ces deux versions portables, puis installez-les sur une clé USB ou carte mémoire.

 

Toujours sur l'ordinateur sain, lancez ces deux logiciels depuis la clé USB puis installez-les sur la clé USB.

Une fois installés sur la clé USB, lancez-les depuis la clé USB et faites une mise à jour des dernières signatures virales. Elles seront alors incluses dans la clé USB, donc vous ne risquerez pas de vous voir bloqué de nouveau en lançant ces logiciels depuis votre PC infecté.

 

Vous voilà donc armé d'une clé USB contenant :

 

- DrWeb CureIT (dernière version avec signatures virales incluses)

- Spybot en version portable + dernières signatures virales

- MalwareBytes en version portable + dernières signatures virales

 

3) Désinfection du PC infecté

 

Insérez la clé USB et lancez DrWeb CureIt (analyse rapide, complète ou sélective). Il effacera ou nettoiera les fichiers infectés, et vous signalera tout fichier qualifié de douteux ou suspect dont il n'a pu se défaire.

 

Notez ces fichiers sur un coin de papier, lancez SpyBot puis MalwareBytes version Portable depuis la clé USB.

Ces deux logiciels ont parfaitement fonctionné depuis la clé USB, alors qu'il était toujours impossible de les faire fonctionner à partir des versions installées sur le disque dur infecté.

 

Lancez une analyse complète avec Spybot, puis avec MalwareBytes. Ca prend un certain temps, mais ca éradique tout. Spybot a clairement identifié mon problème de "Google Redirect" tel qu'annoncé par DrWeb, puis m'en a débarrassé.

 

N'oubliez pas de scanner TOUS vos disques : mon virus "Google Redirect" s'était confortablement installé sur mes 4 disques...

 

Enfin, lancez un scan complet avec votre antivirus favori pour finir de tout récurer à la javel.

 

4) Conclusion

 

Nombre de virus, spywares et malwares apparus depuis peu inondent le Web et provoquent les symptômes décrits plus haut. Les solutions souvent complexes proposées sur de nombreux forum renvoient à des tripatouillages manuels parfois catastrophiques ou hasardeux, ou inopérants, tant ces nouveaux virus s'incrustent à tous les niveaux du système en déjouant tous les verrous (clé modifiées dans le registre, logiciels bloqués, sites bloqués, virus éparpillés sur le disque, blocage des restaurations, du gestionnaire de taches etc etc).

 

De toutes les méthodes que j'ai pu lire ou expérimenter pour me défaire de ces virus, celle de la clé USB avec versions portables mises à jour me parait la plus fiable. Et en plus, cette clé peut me servir pour toute infection ultérieure, quel que soit le virus ou symptome comparable à ceux décrits plus haut.

 

J'espère que ça marchera pour vous comme ça a marché pour moi après deux jours de lutte infructueuse.

 

Bon courage !

Modifié le 5 mars 2009 par Milou'

[angelique]

tsssssss!!! et t'avais les memes fichiers, clefs de registre?? son infection est décrite là :

http://www.threatexpert.com/report.aspx?md...847911142cec6fa

 

pas besoin de passer 36.000 antitrucs.

[Milou']

tsssssss!!! et t'avais les memes fichiers, clefs de registre?? son infection est décrite là :

http://www.threatexpert.com/report.aspx?md...847911142cec6fa

 

pas besoin de passer 36.000 antitrucs.

 

Bonjour Angélique,

 

Merci pour votre réponse constructive, qui, à l'évidence, résoudra tous types d'attaques virales avec blocage d'antivirus/antispyware, gestionnaire de tache, restauration Windows et j'en passe...

 

Décrire une infection est une chose, s'en débarrasser en est une autre.

 

Je propose une solution qui vaut ce qu'elle vaut, lue sur un forum américain et ayant fait ses preuves pour cet internaute comme pour moi. Cette méthode peut marcher pour nombre de virus répondant aux symptômes que j'ai pris la peine de décrire, et pas uniquement pour ceux qui provoquent les problèmes rencontrés par Glourk.

 

Cette méthode via clé USB et logiciels en versin portable rend l'utilisateur autonome sans dépendre d'Internet quand certains virus bloquent ou brident l'accès internet... HijackThis et autre éditions de rapports constituent une autre approche qui a aussi fait ses preuves, à condition de savoir analyser ces rapports, ou qu'un virus ne bloque pas votre connexion internet quand vous ne savez que faire de ces rapports. Ce qui est souvent le cas.

 

J'espère que mon post sera utile à Glourk, ou à d'autres.

 

Bonne fin de journée.

 

PS : Curieux accueil que le vôtre, quand un internaute tente de donner un coup de main...

Modifié le 5 mars 2009 par Milou'

[GLOURK]

tsssssss!!! et t'avais les memes fichiers, clefs de registre?? son infection est décrite là :

http://www.threatexpert.com/report.aspx?md...847911142cec6fa

 

pas besoin de passer 36.000 antitrucs.

[GLOURK]

• desinstalle Nod32 ou AVG8 , ne garde qu'un seul antivirus

 

• Télécharge OTMoveIt3 de OldTimer

http://oldtimer.geekstogo.com/OTMoveIt3.exe

 

* Enregistre-le sur ton bureau

* Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)

* Copie-colle l'entièreté de ceci, le contenu du cadre uniquement à partir de :processes jusqu'en bas de l'ascenceur ; dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) :

 

 

:processes
explorer.exe

:files
C:\WINDOWS\system32\jwt32.exe
C:\Program Files\spooler.exe

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft appswitch"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Printspooler"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\New Windows]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
"IconStreams"=-
"PastIconsStream"=-

:commands
[zipfiles]
[emptytemp]

 

 

* Clique sur le bouton rouge Moveit! pour lancer le nettoyage, accepte le redemarrage.

* Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche avec un nouveau rapport HijackThis

--> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)

 

*un fichier zip a été crée là: C:\ _OTMoveIt\MovedFiles , envoie le là stp: http://upload.malekal.com/

comment faire: http://www.malekal.com/tuto_upload_fichiers.php

[angelique]

faut utiliser l'onglet +repondre GLOURK , entre "flash" et "nouveau" et poster les rapports demandés.

 

Milou' , loin de moi une pensée négative sur ton intervention avec 2 bons outils certes MBAM et CureIT(launch.exe) , mais je ne fais pas les regles de cette section , aussi tu es invités à lire:

 

http://forum.zebulon.fr/procedure-de-fourn...um-t140136.html

 

la signature de Falkra :: http://forum.zebulon.fr/index.php?showuser=184683