au secours

[galak]

Bonjour a tous,

OUblier mon ancien topic la ca devient grave

Je tiens avant a tout a preciser que j ai suivi a la lettre le tutorial et que donc j ai demarre en mode sans echec, que j ai supprimer les cookies et temp int files, que j ai fait tourner antivir, CWsredder qui refuse de fctionner en mode fix (ecran bleu et reboot), spybot, adaware et toues la clique. Je supprime des tas de choses mais ca revient a chaque fois

Des icones apparaissent sur mon bureau: protect your data, evidence eraser, virus hunter security, spyware avenger, your platinum visa...

Je me suis aussi retrouve avec une page de IE "comedy central" qui s'ouvre automatiquement au demarrage de windows avec un icone dans la barre des taches qui des fois se change en smiley. Sinon j'ai aussi des popups "only the best" et ma page d'accueil qui est devenue "about:blank". J'ai aussi des fenetres virus report qui s'ouvrent, des "you must click yes to continue" alors que je ne fais rien, le fameux fond d'ecran "warning you're in danger", une search bar sur mon bureau et maintenant je ne peux plus taper d adresse dans internet explorer je dois naviguer avec mon historique.

 

JE ne sais plus quoi faire et je ne comprends pas pourquoi cwshredder fais planter l ordi en plus ( je suis sous win 2000).

 

JE vous envoie une copie de mon log de hijack this au cas ou on pourrait remedier au pb par la. JE vous en prie aider moi ...

MErci a tous.

Logfile of HijackThis v1.99.0

Scan saved at 5:24:03 PM, on 2/16/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\ibmpmsvc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\tp4mon.exe

C:\WINNT\System32\ibmpmsvc.exe

C:\WINNT\system32\ltmsg.exe

C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe

C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPMon32.exe

C:\WINNT\system32\atlgf.exe

C:\winnt\system32\uimxmbu.exe

C:\winnt\system32\packager.exe

C:\WINNT\System32\rsvp.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\8.tmp

C:\WINNT\system32\tibs5.exe

C:\WINNT\syssv.exe

C:\WINNT\system32\taskmgr.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrator\Desktop\New Folder\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\zrcxq.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\zrcxq.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\zrcxq.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\zrcxq.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\zrcxq.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\zrcxq.dll/sp.html#12345

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\zrcxq.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Sympatico Internet Service

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>

R3 - Default URLSearchHook is missing

F3 - REG:win.ini: run=C:\WINNT\system32\soft.exe

O2 - BHO: (no name) - {3699CF85-64BC-683D-086B-E62653966D4E} - C:\WINNT\system32\atltk32.dll

O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINNT\isrvs\sysupd.dll (file missing)

O2 - BHO: (no name) - {6A24BB55-28DF-AC94-46B5-54FCCF14F6E1} - (no file)

O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINNT\system32\boln.dll

O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [iBMPMSVC] %SystemRoot%\System32\ibmpmsvc.exe -helper

O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9

O4 - HKLM\..\Run: [iPInSightLAN 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPClient.exe" -l

O4 - HKLM\..\Run: [iPInSightMonitor 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPMon32.exe"

O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain

O4 - HKLM\..\Run: [atlgf.exe] C:\WINNT\system32\atlgf.exe

O4 - HKLM\..\Run: [Web Service] C:\WINNT\system32\web.exe

O4 - HKLM\..\Run: [Desktop Search] C:\WINNT\isrvs\desktop.exe

O4 - HKLM\..\Run: [uimxmbu] c:\winnt\system32\uimxmbu.exe

O4 - HKLM\..\Run: [tibs5] C:\WINNT\system32\tibs5.exe

O4 - HKLM\..\Run: [systems Restart] Rundll32.exe boln.dll, DllRegisterServer

O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe

O4 - HKLM\..\Run: [8.tmp] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\8.tmp.exe 4 10001

O4 - HKLM\..\Run: [farmmext] C:\WINNT\farmmext.exe

O4 - HKLM\..\RunOnce: [syssv.exe] C:\WINNT\syssv.exe

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"

O4 - HKCU\..\Run: [Web Service] C:\WINNT\system32\web.exe

O8 - Extra context menu item: &AIM Search - res://C:\Program Files\AIM Toolbar\AIMBar.dll/aimsearch.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe

O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Program Files\AWS\WeatherBug\Weather.exe (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.sympatico.ca

O15 - Trusted Zone: *.05p.com

O15 - Trusted Zone: *.addictivetechnologies.com

O15 - Trusted Zone: *.addictivetechnologies.net

O15 - Trusted Zone: *.admin2cash.biz

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.bettersearch.biz

O15 - Trusted Zone: *.blazefind.com

O15 - Trusted Zone: *.c4tdownload.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.f1organizer.com

O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

O15 - Trusted Zone: *.flingstone.com

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.iframe.biz

O15 - Trusted Zone: *.megapornix.com

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.newiframe.biz

O15 - Trusted Zone: *.overpro.com

O15 - Trusted Zone: *.pizdato.biz

O15 - Trusted Zone: *.private-dialer.biz

O15 - Trusted Zone: *.private-iframe.biz

O15 - Trusted Zone: *.scoobidoo.com

O15 - Trusted Zone: *.searchbarcash.com

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.sp2admin.biz

O15 - Trusted Zone: *.sp2fucked.biz

O15 - Trusted Zone: *.static.topconverting.com

O15 - Trusted Zone: *.vse-moe.biz

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.xxxtoolbar.com

O15 - Trusted Zone: *.ysbweb.com

O15 - Trusted Zone: *.05p.com (HKLM)

O15 - Trusted Zone: *.awmdabest.com (HKLM)

O15 - Trusted Zone: *.blazefind.com (HKLM)

O15 - Trusted Zone: *.clickspring.net (HKLM)

O15 - Trusted Zone: *.flingstone.com (HKLM)

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O15 - Trusted Zone: *.mt-download.com (HKLM)

O15 - Trusted Zone: *.my-internet.info (HKLM)

O15 - Trusted Zone: *.scoobidoo.com (HKLM)

O15 - Trusted Zone: *.searchbarcash.com (HKLM)

O15 - Trusted Zone: *.searchmiracle.com (HKLM)

O15 - Trusted Zone: *.slotch.com (HKLM)

O15 - Trusted Zone: *.static.topconverting.com (HKLM)

O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)

O15 - Trusted IP range: 206.161.125.149

O15 - Trusted IP range: 206.161.125.149 (HKLM)

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://static.topconverting.com/activex/loader2.ocx

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)

O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: yogtnxsxcmdg - Unknown - C:\WINNT\system32\ecpefzes6.exe (file missing)

O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: IBM PM Service - IBM Corp. - C:\WINNT\System32\ibmpmsvc.exe

O23 - Service: SBHookSvc - Unknown - C:\PROGRA~1\NETASS~1\SMARTB~1\SBHookSvc.exe (file missing)

O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINNT\syssv.exe

[Phengizy]

Panique pas,

Pkoi tu ne fais pas comme je te l'ai proposer lors de ton premir post

salut galak,

D'abord va sur: http://hijackthis.de/index.php?langselect=french

Evalue et lis bien tout en bas de l'évaluation 

Bon courage

@ +

 

Je viens de réevaluer ton log. Il n'y a rien de changé

@+

[galak]

OK merci je vais essayer je te tiens au courant

[galak]

J'ai fait exactement ce que tu m'as dit de faire mais ca n'a rien change ou presque !!! Presque tout est encore la alors que j ai passer une heure a tout selectionner sur hijackthis. J'en peux plsu ca fait 9h que je suis sur le pb et y a rien a faire....

Que dois-je faire svp?

[galak]

svp.....

je veux juste comprendre pkoi ca reviens tout le temps et pourquoi je ne peux pas faire tourner CWshredder

IL y a vraiment aucun moyen de se debarrasser de tout ca???

[djibril15]

svp.....

je veux juste comprendre pkoi ca reviens tout le temps et pourquoi je ne peux pas faire tourner CWshredder

IL y a vraiment aucun moyen de se debarrasser de tout ca???

463158[/snapback]

 

 

Envoi ton nouveau log

[galak]

Logfile of HijackThis v1.99.0

Scan saved at 7:52:29 PM, on 2/16/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\ibmpmsvc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\tp4mon.exe

C:\WINNT\System32\ibmpmsvc.exe

C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPMon32.exe

C:\WINNT\isrvs\desktop.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrator\Desktop\New Folder\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINNT\blank.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Sympatico Internet Service

R3 - Default URLSearchHook is missing

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 59.dll

O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINNT\isrvs\sysupd.dll

O2 - BHO: (no name) - {6A24BB55-28DF-AC94-46B5-54FCCF14F6E1} - (no file)

O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINNT\EliteSideBar\EliteSideBar 08.dll

O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [iBMPMSVC] %SystemRoot%\System32\ibmpmsvc.exe -helper

O4 - HKLM\..\Run: [iPInSightMonitor 01] "C:\Program Files\Visual Networks\Visual IP InSight\Sympatico Consumer\IPMon32.exe"

O4 - HKLM\..\Run: [Desktop Search] C:\WINNT\isrvs\desktop.exe

O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe

O4 - HKLM\..\Run: [systems Restart] Rundll32.exe boln.dll, DllRegisterServer

O4 - HKLM\..\Run: [antiware] C:\winnt\system32\elitekmz32.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe

O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.static.topconverting.com

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O15 - Trusted Zone: *.static.topconverting.com (HKLM)

O16 - DPF: v3cab - http://searchmiracle.com/cab/10.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)

O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: IBM PM Service - IBM Corp. - C:\WINNT\System32\ibmpmsvc.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

 

voila... merci pour ton aide

[Invité tesgaz]

Salut,

 

tu redémarres en mode sans echec et tu fix ces lignes :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINNT\blank.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

 

R3 - Default URLSearchHook is missing

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 59.dll

O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINNT\isrvs\sysupd.dll

O2 - BHO: (no name) - {6A24BB55-28DF-AC94-46B5-54FCCF14F6E1} - (no file)

O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINNT\EliteSideBar\EliteSideBar 08.dll

 

 

O4 - HKLM\..\Run: [Desktop Search] C:\WINNT\isrvs\desktop.exe

O4 - HKLM\..\Run: [ffis] C:\WINNT\isrvs\ffisearch.exe

O4 - HKLM\..\Run: [systems Restart] Rundll32.exe boln.dll, DllRegisterServer

O4 - HKLM\..\Run: [antiware] C:\winnt\system32\elitekmz32.exe

 

 

O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.static.topconverting.com

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O15 - Trusted Zone: *.static.topconverting.com (HKLM)

O16 - DPF: v3cab - http://searchmiracle.com/cab/10.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)

 

 

ensuite, il faut supprimer les fichiers en passant par l'explorateur:

C:\WINNT\blank.htm

C:\WINNT\isrvs\sysupd.dll

C:\WINNT\isrvs\desktop.exe

C:\WINNT\system32\boln.dll

C:\winnt\system32\elitekmz32.exe

 

pour tes racourcis sur le bureau, il faut télecharger l'utilitaire de désinstallation lop.com sur leur site

 

voila