aurora, search result, click me

[titotito]

Bonjour

je suis nouveau sur ce forum. J'ai trouvé des informations très interressantes quand à l'éradication des problèmes dûs aux infections de malwares. Bravo pour ce site !!

Mais je n'ai pas réussi à résoudre mon problème:

depuis 2 semaines, j'ai beacoup de problèmes avec mon pc sur lequel s'ouvrent sans cesse des pop ups :

"search result for (...) - Microsoft Internet Explorer"

"seeve"

"aurora"

et j'ai également, à chaque fois que j'allume mon pc une petite case qui m'annonce que le rate is not free pour un international dial.

Enfin, j'ai une icone d'alias verte, avec écrit click me, qui se réinstalle systematiquement sur mon bureau.

 

J'ai essayé Adaware, spybot (qui plante une fois sur deux et me harcèle de "autoriser la modification?"), et enfin, hier sous vos conseils : Ewido. Mais rien n'y fait, les pop ups sont de plus en plus présents, et ce matin l'ordinateur s'est carrément arreté tout seul pour redémarrer! J'ai bien peur que ce soit l'histoire sans fin pour moi!!

 

voici le rapport du scan ewido :

 

+ Créé le: 13:26:18, 02/05/2005

+ Somme de contrôle: 56ACD501

 

+ Date des signatures: 02/05/2005

+ Version du moteur de recherche: v3.0

 

+ Temps: 34 min

+ Fichiers scannés: 78420

+ Vitesse: 38.39 Fichiers/Secondes

+ Fichers infectés: 16

+ Fichiers supprimés: 16

+ Fichiers mis en quarantaine: 16

+ Fichiers ne pouvant pas être ouverts: 0

+ Fichiers ne pouvant pas être nettoyés: 0

 

+ Liés: Oui

+ Cryptés: Oui

+ Archives: Oui

 

+ Elements scannés:

C:\

E:\

 

+ Résultats du scan:

E:\System Volume Information\_restore{0073D092-40E8-43A3-8F00-A1EB6DD9F79D}\RP362\A0029337.dll -> Spyware.DelphinMedia.f -> Nettoyer et sauvegarder

E:\System Volume Information\_restore{0073D092-40E8-43A3-8F00-A1EB6DD9F79D}\RP362\A0029338.ocx -> Spyware.DelphinMediaViewer.c -> Nettoyer et sauvegarder

E:\System Volume Information\_restore{0073D092-40E8-43A3-8F00-A1EB6DD9F79D}\RP362\A0029339.dll -> Spyware.FWN.a -> Nettoyer et sauvegarder

E:\System Volume Information\_restore{0073D092-40E8-43A3-8F00-A1EB6DD9F79D}\RP362\A0029340.exe -> Spyware.VB.f -> Nettoyer et sauvegarder

E:\System Volume Information\_restore{0073D092-40E8-43A3-8F00-A1EB6DD9F79D}\RP362\A0029341.dll -> Spyware.DlMax.a -> Nettoyer et sauvegarder

E:\System Volume Information\_restore{0073D092-40E8-43A3-8F00-A1EB6DD9F79D}\RP362\A0029342.exe -> Trojan.LowZones.am -> Nettoyer et sauvegarder

E:\System Volume Information\_restore{0073D092-40E8-43A3-8F00-A1EB6DD9F79D}\RP363\A0029346.dll -> Trojan.Agent.db -> Nettoyer et sauvegarder

E:\System Volume Information\_restore{0073D092-40E8-43A3-8F00-A1EB6DD9F79D}\RP363\A0029347.dll -> Spyware.DlMax.a -> Nettoyer et sauvegarder

E:\System Volume Information\_restore{0073D092-40E8-43A3-8F00-A1EB6DD9F79D}\RP363\A0029348.dll -> Spyware.BetterInternet -> Nettoyer et sauvegarder

E:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Q7407JJZ\france[1].exe -> Dialer.Generic -> Nettoyer et sauvegarder

E:\WINDOWS\system32\france.exe -> Dialer.Generic -> Nettoyer et sauvegarder

E:\WINDOWS\Nail.exe -> Trojan.Nail -> Nettoyer et sauvegarder

E:\Documents and Settings\timothée\Cookies\timothée@mediaplex[1].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

E:\Documents and Settings\timothée\Cookies\timothée@doubleclick[1].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

E:\Documents and Settings\timothée\Cookies\timothée@xiti[1].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

E:\Documents and Settings\timothée\Cookies\timothée@bluestreak[1].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder

 

 

::Fin du rapport

 

Encore une fois, il semble que le scan ait réussi, pourtant, des pop ups continuent à s'afficher...

 

Merci de m'aider si vous avez le temps,

 

Tito

[megataupe]

Bonjour Tito et bienvenue sur Zébulon sécurité. En complément de ton scan Ewido, peux tu effectuer un scan avec Hijacthis (voir la procédure dans les autres messages pour l'installation et le mode d'emploi d'Hijacthis) et envoyer le rapport qu'il va générer, afin que les spécialistes qui vont l'analyser puisse te fournir des indications pour nettoyer ton PC.

Modifié le 2 mai 2005 par megataupe

[titotito]

Merci Megataupe !

 

voilà le log de Hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 14:28:07, on 02/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\Explorer.exe

E:\Program Files\Creative\ShareDLL\CtNotify.exe

E:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

E:\Program Files\iTunes\iTunesHelper.exe

E:\WINDOWS\seeve.exe

E:\Program Files\Creative\ShareDLL\MediaDet.Exe

E:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

E:\WINDOWS\System32\CTSvcCDA.exe

E:\Program Files\ewido\security suite\ewidoctrl.exe

E:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe

E:\WINDOWS\System32\svchost.exe

E:\Program Files\iPod\bin\iPodService.exe

E:\WINDOWS\System32\wuauclt.exe

E:\WINDOWS\System32\wuauclt.exe

E:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe

E:\Program Files\Google\Google Desktop Search\GoogleDesktopDisplay.exe

E:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe

E:\Program Files\Google\Google Desktop Search\GoogleDesktopOE.exe

E:\WINDOWS\xsiqkfgjbtw.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\Documents and Settings\timothée\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: Shell=Explorer.exe E:\WINDOWS\Nail.exe

O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com

O2 - BHO: PynixObj Class - {00000000-DD60-0064-6EC2-6E0100000000} - E:\WINDOWS\Pynix.dll (file missing)

O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - E:\WINDOWS\Bolger.dll (file missing)

O4 - HKLM\..\Run: [Détecteur de disque] E:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [Disc Detector] E:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] E:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] E:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [checkrun] E:\windows\system32\elitejzv32.exe

O4 - HKLM\..\Run: [seeve] E:\WINDOWS\seeve.exe

O4 - HKLM\..\Run: [WinTools] E:\PROGRA~1\FICHIE~1\WinTools\WToolsA.exe

O4 - HKLM\..\Run: [xctmzh] e:\windows\system32\lnqock.exe

O4 - HKLM\..\Run: [pouifb] e:\windows\system32\anifanf.exe

O4 - HKLM\..\Run: [picsvr] E:\WINDOWS\System32\picsvr\picsvr.exe

O4 - HKLM\..\Run: [ASDPLUGIN] E:\WINDOWS\System32\france.exe -N

O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Ad Arrest] E:\Program Files\Ad Arrest Pop Up Stopper for Kazaa\adarrest.exe

O4 - HKCU\..\Run: [Google Desktop Search] "E:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [spybotSD TeaTimer] E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.popuppers.com

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971C...bridge-c293.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...meInstaller.exe

O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers...ll/pinstall.cab

O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} - http://cabs.media-motor.net/cabs/diamond.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O23 - Service: Adobe LM Service - Unknown owner - E:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\System32\CTSvcCDA.exe

O23 - Service: ewido security suite control - ewido networks - E:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - E:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\Program Files\iPod\bin\iPodService.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - E:\WINDOWS\svcproc.exe

 

Merci encore!

 

T

[queruak]

Bonjour,

 

J'ai essayé Adaware, spybot (qui plante une fois sur deux et me harcèle de "autoriser la modification?")

 

Normal,que Spybot te "harcele" comme tu dis !

 

TeaTimer de Spybot est activé,et s'il est activé il ne laisse passer aucune modification,meme si c'est pour réparer.

Désactive TeaTimer de Spybot.

Redémarre

Repasse Ewido

A la fin du scan,colle son rapport,ainsi qu'un nouveau log Hijacthis.

Tu vides ensuite la quarantaine de Ewido

[megataupe]

Bonjour,

Normal,que Spybot te "harcele" comme tu dis !

 

TeaTimer de Spybot est activé,et s'il est activé il ne laisse passer aucune modification,meme si c'est pour réparer.

Désactive TeaTimer de Spybot.

Redémarre

Repasse Ewido

A la fin du scan,colle son rapport,ainsi qu'un nouveau log Hijacthis.

Tu vides ensuite la quarantaine de Ewido

496024[/snapback]

 

Bonjour queruak . Je pense qu'il serait judicieux d'indiquer dans la procédure d'Hijackthis de désactiver, avant d'être logé en mode sans échec, les utilitaires de surveillance en temps réel comme le tea timer ou ProcessGuard.

 

Qu'en penses-tu ?

[queruak]

Bonjour megataupe,

 

TeaTimer peut etre désactivé manuellement:

Ouvrir SpyBot -->Outils -->Résidents -->Décocher la case correspondante.

 

La possiblité de le faire par Hijackthis existe bien sur,il suffit de fixer cette ligne:

O4 - HKCU\..\Run: [spybotSD TeaTimer] E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

 

Analyser un rapport partiellement,personnellement je ne suis partisan de cette méthode,car si je passe au rapport je préfere etre le plus complet possible,d'autant plus que le rapport de notre ami est des plus vérolés.

 

Ce que j'ai donné,n'est qu'un élement de réponse,ce premier néttoyage permettera de déblayer le terrain c'est tout,mais ce n'est pas la solution finale.

 

Et je crains que la "fixation" classique des lignes néfastes,ne suffira dans ce cas .

[megataupe]

Je pense m'être mal exprimé car, je parlais en fait de la procédure classique qui est indiquée avant le nettoyage d'Hijackthis dans les réponses aux demandes d'analyse. Pour le reste, tu as tout à fait raison de privilégier une analyse globale.

 

Bonne chance avec ce cas épineux à première vue

[titotito]

Bonjour,

C'est encore moi, titotito, j'ai effectué toutes les procédures recommandées mais mon pc est toujours aussi infecté. De plus, la version d'evaluation de ewido a touché à son terme. Je suis completement perdu, merci de me venir en aide voici le dernier log de hijackthis

 

 

Logfile of HijackThis v1.99.1

Scan saved at 14:31:44, on 24/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\Explorer.exe

E:\Program Files\Creative\ShareDLL\CtNotify.exe

E:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

E:\Program Files\iTunes\iTunesHelper.exe

E:\Program Files\MSN Messenger\MsnMsgr.Exe

e:\windows\system32\xzyxde.exe

E:\Program Files\Creative\ShareDLL\MediaDet.Exe

E:\WINDOWS\System32\CTSvcCDA.exe

E:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

E:\Program Files\ewido\security suite\ewidoctrl.exe

E:\WINDOWS\System32\svchost.exe

E:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe

E:\Program Files\Outlook Express\msimn.exe

E:\Program Files\iPod\bin\iPodService.exe

E:\Program Files\Messenger\msmsgs.exe

E:\WINDOWS\System32\wuauclt.exe

E:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe

E:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\Program Files\Google\Google Desktop Search\GoogleDesktopOE.exe

E:\Program Files\Internet Explorer\IEXPLORE.EXE

E:\Documents and Settings\timothée\Local Settings\Temp\Répertoire temporaire 3 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: Shell=Explorer.exe E:\WINDOWS\Nail.exe

O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com

O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - E:\WINDOWS\Bolger.dll (file missing)

O4 - HKLM\..\Run: [Détecteur de disque] E:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [Disc Detector] E:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] E:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] E:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [checkrun] E:\windows\system32\elitejzv32.exe

O4 - HKLM\..\Run: [WinTools] E:\PROGRA~1\FICHIE~1\WinTools\WToolsA.exe

O4 - HKLM\..\Run: [picsvr] E:\WINDOWS\System32\picsvr\picsvr.exe

O4 - HKLM\..\Run: [ASDPLUGIN] E:\WINDOWS\System32\france.exe -N

O4 - HKLM\..\Run: [HELPER] E:\WINDOWS\System32\france.exe -N

O4 - HKLM\..\Run: [inhkla] e:\windows\system32\xzyxde.exe

O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Ad Arrest] E:\Program Files\Ad Arrest Pop Up Stopper for Kazaa\adarrest.exe

O4 - HKCU\..\Run: [Google Desktop Search] "E:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [spybotSD TeaTimer] E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.popuppers.com

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971C...bridge-c293.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...meInstaller.exe

O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers...ll/pinstall.cab

O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} - http://cabs.media-motor.net/cabs/diamond.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O23 - Service: Adobe LM Service - Unknown owner - E:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\System32\CTSvcCDA.exe

O23 - Service: ewido security suite control - ewido networks - E:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\Program Files\iPod\bin\iPodService.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - E:\WINDOWS\svcproc.exe

[queruak]

Bonjour titotito,megataupe, bonjour à tous,

 

Je regarde ton rapport,réponse dans quelques instants !

[queruak]

Rebonjour,

 

Important !

Aprés avoir téléchargé les outils nécéssaires,tu feras toutes les corrections hors connexion.Imprime cette page.

 

-1-Télécharge les outils suivants.

*DelDomain.inf

http://www.mvps.org/winhelp2002/restricted.htm

*EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

*ABIremover.zip

 

-2-Assure toi d'avoir accés à tous les fichiers.

Poste de travail

Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer".

 

-3-Démarrer / Exécuter / tape services.msc et clique sur OK

Dans la liste des services, cherche et sélectionne

"System Startup Service" / double clique sur la ligne

/ vérifie dans Chemin d'accès des fichiers exécutables qu'il

s'agit bien de "E:\WINDOWS\svcproc.exe" / dans Type de démarrage,

sélectionne Désactiver / valide la modification !

 

-4-Redémarre en mode sans echec. IMPERATIVEMENT EN MODE SANS ECHEC.

Comment démarrer Windows XP en mode sans échec

 

-5-Installe ABIRemover.exe ,patiente... pendant l'installation l'explorateur windows se fermera.

 

-6-Redémarre en mode sans echec.

 

-7-Lance Hijackthis,scan,et coche les lignes en gras ci-dessous.

 

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: Shell=Explorer.exe E:\WINDOWS\Nail.exe

O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com

O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - E:\WINDOWS\Bolger.dll (file missing)

O4 - HKLM\..\Run: [Détecteur de disque] E:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [Disc Detector] E:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] E:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] E:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [checkrun] E:\windows\system32\elitejzv32.exe

O4 - HKLM\..\Run: [WinTools] E:\PROGRA~1\FICHIE~1\WinTools\WToolsA.exe

O4 - HKLM\..\Run: [picsvr] E:\WINDOWS\System32\picsvr\picsvr.exe

O4 - HKLM\..\Run: [ASDPLUGIN] E:\WINDOWS\System32\france.exe -N

O4 - HKLM\..\Run: [HELPER] E:\WINDOWS\System32\france.exe -N

O4 - HKLM\..\Run: [inhkla] e:\windows\system32\xzyxde.exe

O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Ad Arrest] E:\Program Files\Ad Arrest Pop Up Stopper for Kazaa\adarrest.exe

O4 - HKCU\..\Run: [Google Desktop Search] "E:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [spybotSD TeaTimer] E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.popuppers.com

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971C...bridge-c293.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...meInstaller.exe

O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers...ll/pinstall.cab

O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} - http://cabs.media-motor.net/cabs/diamond.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O23 - Service: Adobe LM Service - Unknown owner - E:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\System32\CTSvcCDA.exe

O23 - Service: ewido security suite control - ewido networks - E:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\Program Files\iPod\bin\iPodService.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - E:\WINDOWS\svcproc.exe

 

-8-Ferme toutes les fenetres Internet Explorer,Outlook Express sauf Hijackthis,puis clique sur "Fix checked"

 

-9-Supprime les dossiers suivants.

- E:\WINDOWS\Nail.exe<-le fichier

-E:\WINDOWS\Bolger.dll<-le fichier

-E:\WINDOWS\System32\xzyxde.exe <-le fichier

-E:\WINDOWS\System32\elitejzv32.exe <-le fichier

-E:\WINDOWS\System32\picsvr<-le dossier

-E:\WINDOWS\System32\france.exe <-le fichier

-E:\WINDOWS\svcproc.exe <-le fichier

-E:\Program Files\Fichiers Communs\WinTools<-le dossier

 

-10-Redémarre normalement

 

-11-Fais un clic droit le fichier Del_Domains.inf -->Installer

 

-12-Termine le néttoyage par EasyCleaner.

N'utilise que les fonctions Inutiles et Registre.

Supprime tout ce qu'il trouve.

 

-13-Redémarre normalement et poste un nouveau rapport hijackthis.