Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu]Problèmes virus, espions....

Syjo

Par Syjo
dans Analyses et éradication malwares

 Partager

Messages recommandés

Syjo Member

Syjo

Posté(e)
Posté(e)

Bonjour,

je souhaite vous soumettre un log que j'ai fait avec hijackthis, car je ne connais pas trop bien ce logiciel et c'est après beaucoup de recherches que j'ai connu Hijack; Par peur d'éliminer ce qu'il ne faut pas, j'ai besoin de votre aide.

C'est la même chose pour un autre logiciel que j'ai téléchargé : CWShredder et que j'ai passé sur l'ordi, il a trouvé des tas de trucs, tellement que je ne sais pas s'il faut cocher toutes les cases pour les supprimer et pourtant je reconnais bien certains intrus.

Il faut dire que c'est l'ordi de mon fils et qu'on est un peu à cran, ça fait au moins depuis février qu'on se trimbale des problèmes, qu'il a formaté et reformaté et réinstallé. Là, ça a l'air d'aller un peu mieux mais il n'est pas encore clean.

Merci beaucoup de votre aide.

 

Logfile of HijackThis v1.99.0

Scan saved at 19:44:27, on 09/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\progra~1\softwin\bitdef~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\progra~1\softwin\bitdef~1\bdnagent.exe

C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

C:\WINDOWS\Mixer.exe

D:\eDonkey2000\eDonkey2000.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Media Access\MediaAccK.exe

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\seeve.exe

C:\Program Files\Media Access\MediaAccess.exe

C:\WINDOWS\logon.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Documents and Settings\freddo.FRED\Application Data\alit.exe

C:\Program Files\iriver\iriver plus\iAgent.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\WinZip\WZQKPICK.EXE

C:\WINDOWS\System32\vrsprtc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

F:\Scan CWShredder\SpySub.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

F:\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 203.87.57.144 ibank.barclays.co.uk

O1 - Hosts: 203.87.57.144 online-business.lloydstsb.co.uk

O1 - Hosts: 203.87.57.144 online.lloydstsb.co.uk

O1 - Hosts: 203.87.57.144 www.halifax-online.co.uk

O1 - Hosts: 203.87.57.144 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 203.87.57.144 www.nwolb.com

O1 - Hosts: 203.87.57.144 banesnet.banesto.es

O1 - Hosts: 203.87.57.144 extranet.banesto.es

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll

O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll

O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll

O4 - HKLM\..\Run: [bDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe

O4 - HKLM\..\Run: [C-Media Echo Control] C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [notes] notes.exe

O4 - HKLM\..\Run: [Firewall Updater] msnupdateit.exe

O4 - HKLM\..\Run: [eDonkey2000] D:\eDonkey2000\eDonkey2000.exe -t

O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe

O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [nkhgr] C:\WINDOWS\nkhgr.exe

O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\System32\france.exe -N

O4 - HKLM\..\Run: [fud] C:\WINDOWS\fud.exe

O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe

O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe

O4 - HKLM\..\Run: [services] C:\WINDOWS\System32\bodksuud.exe

O4 - HKLM\..\Run: [MSN7 Startup] msn7.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitedme32.exe

O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe

O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe

O4 - HKLM\..\Run: [ErrorGuard] C:\Program Files\ErrorGuard\ErrorGuard.Exe

O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\france.exe -N

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\RunServices: [notes] notes.exe

O4 - HKLM\..\RunServices: [Firewall Updater] msnupdateit.exe

O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe

O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE

O4 - HKLM\..\RunServices: [MSN7 Startup] msn7.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe

O4 - HKCU\..\Run: [Firewall Updater] msnupdateit.exe

O4 - HKCU\..\Run: [sdtp] C:\WINDOWS\System32\dpcp.exe

O4 - HKCU\..\Run: [Y0xmRiM8Q] wpnpy.exe

O4 - HKCU\..\Run: [CT Control Settings] CTSVCCD.EXE

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [MSN7 Startup] msn7.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Wsbb] C:\Documents and Settings\freddo.FRED\Application Data\alit.exe

O4 - HKCU\..\Run: [iPlusAgent] C:\Program Files\iriver\iriver plus\iAgent.exe

O4 - HKCU\..\Run: [iriverPlus] C:\Program Files\iriver\iriver plus\iPlus.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe

O4 - Global Startup: SpySubtract.lnk = F:\Scan CWShredder\SpySub.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.popuppers.com

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_pa.exe

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int5.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...Bridge-c139.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/joysaver.cab

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4...006_regular.cab

O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/joysaver.cab

O18 - Filter: text/html - {46D15134-CD1C-4276-9CCF-1530943BD7A0} - C:\WINDOWS\System32\cjnh.dll

O18 - Filter: text/plain - (no CLSID) - (no file)

O23 - Service: BitDefender Scan Server - Unknown - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Hardware Clock Driver - Unknown - C:\WINDOWS\System32\hwclock.exe (file missing)

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Keyboard Service System Files - Unknown - C:\WINDOWS\System32\vrsprtc.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Smart Card Client - Unknown - C:\WINDOWS\System32\notes.exe (file missing)

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: BitDefender Virus Shield - Unknown - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: BitDefender Communicator - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

chercheur Mega Power Member

chercheur

Posté(e)
Posté(e)

Bonjour,

 

Bienvenu sur Zebulon :P

 

L'ordinateur à plusieurs types d'infection.

 

 

 

Si cela n'a pas été fait, le mieux est de commencer par un peu de nettoyage :

 

*Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C:

coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers

 

*Vas dans les fichiers :

- C:\Windows\Temp

- C:\Documents and Settings\ton nom\Local Settings\Temp

- C:\Documents and Settings\autre nom\Local Settings\Temp

- C:\Windows\Prefetch

et supprime tout ce qu'il y a dedans

- Vide la corbeille

 

*Télécharge EasyCleaner de Toni Helenius

http://personal.inet.fi/business/toniarts/ecleane.htm

Il permet de supprimer des fichiers inutiles, les cookies, les fichiers internet temporaires, les documents récents, les raccourcis obsolètes et l'historique d'IE.L'analyse de la base de registre permet de supprimer les clés caduques (Ne pas toucher à la fonction doublons )

 

 

*Fais un examen antitrojan avec A2

http://www.emsisoft.net/fr/

Il est nécessaire de s'enregistrer pour bénéficier des mises à jour

 

*Télécharge ces deux logiciels antispywares complémentaires

- Ad-Aware SE Personnal

http://www.lavasoftusa.com/default.shtml.fr

mettre à jour, scanner et supprimer tout

- Spybot

http://www.safer-networking.org/fr/home/index.html

mettre à jour, scanner et supprimer tout.

 

Toutes ces manipulations devraient déja permettre d'améliorer le fonctionnement de l'ordinateur.

 

* -Télécharge cet outil:

http://www.simplytech.it/ETRemover/ETRemoverV120.zip

 

-Une fois téléchargé,tu le dézippes dans un repertoire dédié.

 

-Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.

Démarre l'ordinateur.

Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.

En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

 

-Lance l'outil, et clique sur "Kill Elite Toolbar"

Tu le laisses travailler.

 

* Utilise CWShredder

http://cwshredder.net/bin/CWShredder.exe

 

-Mettre CWShredder dans un répertoire dédié

-fermer toutes les fenêtres

-lancer CWShredder et cliquer sur "Fix".

-élimine TOUT

-Redémarre normalement et poste un nouveau log Hijackthis.

chercheur Mega Power Member

chercheur

Posté(e)
Posté(e)

Re,

 

* Pour une meilleur réponse, télécharge la nouvelle version d'HijackThis v1.99.1

http://www.merijn.org/files/hijackthis.zip

Et son Tutorial

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

 

 

* Le formatage à éliminé les mises à jours de Windows.

Pour Windows

Pack SP1

http://www.microsoft.com/france/WINDOWS/xp...P1Commande.html

 

ou mieux, Pack SP2

http://www.microsoft.com/france/windows/xp/sp2/default.mspx

 

Pour Internet Explorer

http://www.microsoft.com/windows/ie_intl/f...ad/default.mspx

 

Cela permettra de corriger de nombreuses failles de sécurité

Syjo Member

Syjo

Posté(e)
  • Auteur
Posté(e)

Merci Chercheur pour ta réponse, je vais essayer de faire certaines choses que tu me préconises mais j'ai un peu la trouille de télécharger trop de trucs, par ex je crois avoir téléchargé déjà Adware mais ça n'a rien fait et ensuite on ne s'y retrouve plus dans tous les programmes quand l'ordi est infesté.

Donc, c'est aussi ce que je voulais savoir, en lançant CWShredder, je peux cocher tout ce qu'il trouve et les supprimer ? (Il y en a beaucoup dans le registre aussi)

Je me permets de coller ici un morceau du log avec ce qu'il a trouvé que je n'ai pas osé supprimer, qu'en penses-tu ?

Merci encore

 

 

Found 'Media Access' in 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run'

Found '' in 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ED103D9F-3070-4580-AB1E-E5C179C1AE41}'

Found '' in 'SOFTWARE\Elitum\EliteToolBar'

Found '' in 'SOFTWARE\Elitum\EliteSideBar'

Found '' in 'SOFTWARE\Classes\CLSID\{ED103D9F-3070-4580-AB1E-E5C179C1AE41}'

Found '' in 'SOFTWARE\Classes\CLSID\{BE8D0059-D24D-4919-B76F-99F4A2203647}'

Found '' in 'SOFTWARE\Classes\CLSID\{825CF5BD-8862-4430-B771-0C15C5CA8DEF}\InprocServer32'

Found '' in 'SOFTWARE\Classes\CLSID\{28CAEFF3-0F18-4036-B504-51D73BD81ABC}\Programmable'

Found '' in 'SOFTWARE\Classes\CLSID\{28CAEFF3-0F18-4036-B504-51D73BD81ABC}\InprocServer32'

Found '' in 'SOFTWARE\Classes\CLSID\{0A1D22C3-37BE-470C-9C29-E3074EE0574B}'

Found 'Search Page' in 'Software\Microsoft\Internet Explorer\Main'

Found 'Search Bar' in 'Software\Microsoft\Internet Explorer\Main'

Found 'UninstallString' in 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EliteBar Internet Explorer Toolbar'

Found 'DisplayName' in 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EliteBar Internet Explorer Toolbar'

Found '' in 'Software\LQ'

Found 'SearchURL' in 'Software\Microsoft\Internet Explorer'

Found '' in 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall'

Found '' in 'SOFTWARE\Classes\PROTOCOLS\Filter\text/html'

Found '' in 'SOFTWARE\Classes\PROTOCOLS\Filter\text/plain'

Found 'HOMEOldSP' in 'SOFTWARE\Microsoft\Internet Explorer\Main'

Found 'sp' in 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run'

Found 'Search Bar' in 'SOFTWARE\Microsoft\Internet Explorer\Main'

Found 'CLSID' in 'SOFTWARE\Classes\PROTOCOLS\Filter\text/html'

Found 'Search Bar' in 'SOFTWARE\Microsoft\Internet Explorer\Main'

Found 'CLSID' in 'SOFTWARE\Classes\PROTOCOLS\Filter\text/plain'

Found 'Search Bar' in 'SOFTWARE\Microsoft\Internet Explorer\Main'

Found '' in 'SOFTWARE\Classes\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\HELPDIR'

Found '' in 'SOFTWARE\Classes\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\FLAGS'

Found '' in 'SOFTWARE\Classes\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\0\win32'

Found '' in 'SOFTWARE\Classes\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\0'

Found '' in 'SOFTWARE\Classes\MediaAccess.Installer\CurVer'

Found '' in 'SOFTWARE\Classes\MediaAccess.Installer\CLSID'

chercheur Mega Power Member

chercheur

Posté(e)
Posté(e)

Re,

 

Pour te retrouver dans les dossiers, tu peux créer un dossier sécurité par exemple et tu mets les utilitaires dedans.

De cette maniére, tu y a accès rapidement.

 

De plus, c'est un nettoyage préliminaire avanyt de poster uin rapport HijackThis. Cela permet d'éliminer certaines choses.

 

CWShredder est sur, élimine tout.

 

N'oublie pas les mises à jour de Windows.

 

Et reposte un rapport pour vérification, car CWShredder ne va surement pas tout éliminer.

Syjo Member

Syjo

Posté(e)
  • Auteur
Posté(e)

Bonjour chercheur,

Depuis mon dernier message j'ai eu un mal de chien à me dépatouiller, c'est pour cela que je n'ai pu venir sur le site. J'avais l'impression de tourner en rond, j'ai d'abord téléchargé les logiciels que tu m'as dit, avec du mal pour certains. Ce matin, je croyais devoir venir te dire adieu (si j'y arrivais en mode ss échec) et merci pour tout car mon propre fils allait me tuer ce soir. Plaisanterie à part, j'étais désespérée : en mode sans échec, j'ai pu venir sur le site et le temps de chercher mon mail, j'ai eu un message me disant que la sécurité Win NT devait fermer mon ordi. Ensuite j'ai eu des fenêtres qui s'ouvraient de partout, l'ordi s'est bloqué, je ne pouvais rien ouvrir et il était plus lent. Hier, j'ai téléchargé le pack 2 car un message de windows me le proposait mais je sais pas si c'est à cause de ça, l'ordi ramait gravement. Ce matin je l'ai désinstallé, j'ai refait une install de win en réparation mais sans débrancher le câble réseau (idiote que je suis) et tout se bloquait, j'ai refait l'install mais j'ai débranché avant, j'ai suivi tes conseils :

vidé temp, historique etc

Passé mon antivirus (trouvé 3)

Lancé AdAdware (53 objects critiques) j'ai tout effacé, mais 2 dans le registre reviennent tout le temps. (Média Motor et popuppers)

Nettoyé le disque

Repassé Adware

Passé CWShredder ( (Search Miracle revient tt le temps)

Passé Kill Toolbar mais je ne comprends pas : 1 fenêtre Dos s'affiche ?

Passé Easy Cleaner, tout effacé sans toucher aux doublons

:P Enfin voilà grosso modo, ça m'a pris un temps fou.

Dieu soit loué (s'il existe) tout n'est pas encore parfait mais j'ai retrouvé la connexion, j'avais peur de devoir réinstaller MSN et comme je ne m'en occupe pas, je sais pas faire.

et retrouvé aussi les éternelles fenêtres : Warning, Spyware in your computer, Click me aussi qui est du genre collant

Je te joins le dernier Hijack que j'ai fait sans être connectée

Merci beaucoup du temps que tu prends pour moi et de ta gentillesse à me répondre.

 

Logfile of HijackThis v1.99.0

Scan saved at 14:45:13, on 12/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\vrsprtc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Softwin\BitDefender8\vsserv.exe

C:\progra~1\softwin\bitdef~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\progra~1\softwin\bitdef~1\bdnagent.exe

C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\seeve.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\WINDOWS\System32\kpbqggvj.exe

C:\WINDOWS\System32\logon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\iriver\iriver plus\iAgent.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

F:\Scan CWShredder\SpySub.exe

C:\Documents and Settings\freddo.FRED\Application Data\ctsc.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

F:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O1 - Hosts: 203.87.57.144 ibank.barclays.co.uk

O1 - Hosts: 203.87.57.144 online-business.lloydstsb.co.uk

O1 - Hosts: 203.87.57.144 online.lloydstsb.co.uk

O1 - Hosts: 203.87.57.144 www.halifax-online.co.uk

O1 - Hosts: 203.87.57.144 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 203.87.57.144 www.nwolb.com

O1 - Hosts: 203.87.57.144 banesnet.banesto.es

O1 - Hosts: 203.87.57.144 extranet.banesto.es

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [bDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe

O4 - HKLM\..\Run: [C-Media Echo Control] C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

Syjo Member

Syjo

Posté(e)
  • Auteur
Posté(e)

J'ai coupé le log à moitié, voici la suite

(J'ai perdu la connexion après l'envoi de mon mail)

Merci, à bientôt peut-être

 

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Firewall Updater] msnupdateit.exe

O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe

O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\System32\france.exe -N

O4 - HKLM\..\Run: [MSN7 Startup] msn7.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitedme32.exe

O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe

O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\france.exe -N

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [Norton Antivirus 7.0a] C:\WINDOWS\System32\kpbqggvj.exe

O4 - HKLM\..\Run: [Microsoft Update Machine] macupdate.exe

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe

O4 - HKLM\..\RunServices: [Firewall Updater] msnupdateit.exe

O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe

O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE

O4 - HKLM\..\RunServices: [MSN7 Startup] msn7.exe

O4 - HKLM\..\RunServices: [Microsoft Update Machine] macupdate.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe

O4 - HKCU\..\Run: [Firewall Updater] msnupdateit.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [MSN7 Startup] msn7.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Wsbb] C:\Documents and Settings\freddo.FRED\Application Data\alit.exe

O4 - HKCU\..\Run: [iPlusAgent] C:\Program Files\iriver\iriver plus\iAgent.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [iriverPlus] C:\Program Files\iriver\iriver plus\iPlus.exe

O4 - HKCU\..\Run: [Pmcd] C:\Documents and Settings\freddo.FRED\Application Data\rrda.exe

O4 - HKCU\..\Run: [Microsoft Update Machine] macupdate.exe

O4 - HKCU\..\Run: [Oopt] C:\Documents and Settings\freddo.FRED\Application Data\ctsc.exe

O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe

O4 - Global Startup: SpySubtract.lnk = F:\Scan CWShredder\SpySub.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.popuppers.com

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...Bridge-c139.cab

O23 - Service: BitDefender Scan Server - Unknown - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Hardware Clock Driver - Unknown - C:\WINDOWS\System32\hwclock.exe (file missing)

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Keyboard Service System Files - Unknown - C:\WINDOWS\System32\vrsprtc.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Smart Card Client - Unknown - C:\WINDOWS\system32\vvv.exe (file missing)

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: BitDefender Virus Shield - Unknown - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: BitDefender Communicator - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

chercheur Mega Power Member

chercheur

Posté(e)
Posté(e)

Re,

 

Comme je te le disais, il reste beaucoup de choses à faire. Ton ordinateur est très infecté.

Après ce ménage, on verra plus clair. :P

 

 

1 Télécharge DelDomains.inf

http://www.mvps.org/winhelp2002/DelDomains.inf

 

clic droit / Enregistrer la cible sous...

 

 

2 Termine les processus suivants

Appuyer simultanement sur les touches Ctrl+Alt+supp-->le gestionnaire des taches s'ouvre-->onglet processus--->clique sur le processus--->terminer processus

 

seeve.exe

kpbqggvj.exe

logon.exe

ctsc.exe

 

 

3 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.

 

Dans la liste des services, cherche et sélectionne

" Hardware Clock Driver " / double clique sur la ligne

/ vérifie dans Chemin d'accès des fichiers exécutables qu'il

s'agit bien de " C:\WINDOWS\System32\hwclock.exe " / dans Type de démarrage,

sélectionne Désactiver / valide la modification.

 

Tu fais pareil avec " Keyboard Service System Files " et le chemin " C:\WINDOWS\System32\vrsprtc.exe ".

 

Tu recommence avec " Smart Card Client " et le chemin " C:\WINDOWS\system32\vvv.exe ".

 

 

4 Relance un scan HijackThis et coche les lignes en gras ci-dessous :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O1 - Hosts: 203.87.57.144 ibank.barclays.co.uk

O1 - Hosts: 203.87.57.144 online-business.lloydstsb.co.uk

O1 - Hosts: 203.87.57.144 online.lloydstsb.co.uk

O1 - Hosts: 203.87.57.144 www.halifax-online.co.uk

O1 - Hosts: 203.87.57.144 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 203.87.57.144 www.nwolb.com

O1 - Hosts: 203.87.57.144 banesnet.banesto.es

O1 - Hosts: 203.87.57.144 extranet.banesto.es

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [bDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe

O4 - HKLM\..\Run: [C-Media Echo Control] C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Firewall Updater] msnupdateit.exe

O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe

O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\System32\france.exe -N

O4 - HKLM\..\Run: [MSN7 Startup] msn7.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitedme32.exe

O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe

O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\france.exe -N

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [Norton Antivirus 7.0a] C:\WINDOWS\System32\kpbqggvj.exe

O4 - HKLM\..\Run: [Microsoft Update Machine] macupdate.exe

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe

O4 - HKLM\..\RunServices: [Firewall Updater] msnupdateit.exe

O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe

O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE

O4 - HKLM\..\RunServices: [MSN7 Startup] msn7.exe

O4 - HKLM\..\RunServices: [Microsoft Update Machine] macupdate.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe

O4 - HKCU\..\Run: [Firewall Updater] msnupdateit.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [MSN7 Startup] msn7.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Wsbb] C:\Documents and Settings\freddo.FRED\Application Data\alit.exe

O4 - HKCU\..\Run: [iPlusAgent] C:\Program Files\iriver\iriver plus\iAgent.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [iriverPlus] C:\Program Files\iriver\iriver plus\iPlus.exe

O4 - HKCU\..\Run: [Pmcd] C:\Documents and Settings\freddo.FRED\Application Data\rrda.exe

O4 - HKCU\..\Run: [Microsoft Update Machine] macupdate.exe

O4 - HKCU\..\Run: [Oopt] C:\Documents and Settings\freddo.FRED\Application Data\ctsc.exe

O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe

O4 - Global Startup: SpySubtract.lnk = F:\Scan CWShredder\SpySub.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.popuppers.com

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...Bridge-c139.cab

O23 - Service: BitDefender Scan Server - Unknown - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Hardware Clock Driver - Unknown - C:\WINDOWS\System32\hwclock.exe (file missing)

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Keyboard Service System Files - Unknown - C:\WINDOWS\System32\vrsprtc.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Smart Card Client - Unknown - C:\WINDOWS\system32\vvv.exe (file missing)

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: BitDefender Virus Shield - Unknown - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: BitDefender Communicator - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

 

5 Utilise DelDomains.inf

 

Tu fais clic droit / Installer (tu ne vois rien se passer !)

 

 

6 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.

 

Démarre l'ordinateur.

Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.

En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

 

 

7 Assure toi d'avoir accés à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

 

8 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

C:\WINDOWS\seeve.exe

C:\WINDOWS\System32\kpbqggvj.exe

C:\WINDOWS\System32\logon.exe

C:\Documents and Settings\freddo.FRED\Application Data\ctsc.exe

msnupdateit.exe --> Fais une recherche, il est surement dans C:\WINDOWS\System32

msnmsgr.exe --> Fais une recherche, il est surement dans C:\WINDOWS\System32. Attention, C:\Program Files\MSN Messenger\MsnMsgr.Exe est légitime.

C:\WINDOWS\System32\france.exe

msn7.exe --> Fais une recherche, il est surement dans C:\WINDOWS\System32

C:\windows\system32\elitedme32.exe

macupdate.exe --> Fais une recherche, il est surement dans C:\WINDOWS\System32

C:\Documents and Settings\freddo.FRED\Application Data\alit.exe

C:\Documents and Settings\freddo.FRED\Application Data\rrda.exe

C:\WINDOWS\System32\hwclock.exe

C:\WINDOWS\System32\vrsprtc.exe

C:\WINDOWS\system32\vvv.exe

 

9 Vas dans les fichiers Temp:

- C:\Windows\Temp

- C:\Documents and Settings\ton nom\Local Settings\Temp

- C:\Documents and Settings\autre nom\Local Settings\Temp

et supprime tout ce qu'il y a dedans

 

-Supprime tous les fichiers de Temporary Internet Files via

Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers .

-Supprime les Cookies .

 

-Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C:

coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers

 

-Vide la corbeille

 

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

10 Utilise CWShredder

http://cwshredder.net/bin/CWShredder.exe

 

-Mettre CWShredder dans un répertoire dédié

-fermer toutes les fenêtres

-lancer CWShredder et cliquer sur "Fix".

 

 

11 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

Syjo Member

Syjo

Posté(e)
  • Auteur
Posté(e)

Bonjour chercheur,

Je te fais vite une réponse avant qu'il n'arrive encore un truc. Ca allait bien un moment et plouf c'était reparti. Enfin, en gros, j'ai suivi à la lettre ce que tu m'as dit de faire mais je ne sais pas si je devais faire toutes les actions car avant que je puisse voir ton dernier post, j'ai passé et repassé antivirus, search and destroy (tu as raison, il est super et très convivial) il faudra que j'apprenne à bien le configurer. Et à ce moment, malgré ces envahisseurs qui reviennent toujours, l'ordi fonctionnait pas trop mal, c'est pour ça que je me demande si je n'ai pas fait une fausse manip (mais je ne crois pas) après avoir suivi tes conseils qui se sont révélés malgré tout très efficaces.

Mais la fenêtre de MSN ne s'affiche plus, l'ordi a ramé un peu et quand j'ai lancé hijack, il me dit que mon syst refuse l'accés à l'écriture de hosts files, il m'explique ce qu'il faut faire mais c'est un échec et Search n'a trouvé aucun mouchard mais me parle d'error anal-oral win main, 1 périph attaché au syst ne fonctionne pas correctement (erreur 57) c'est donc le réseau si j'ai bien vu sur internet, j'ai cliqué sur connexions et sur réparer la connexion mais je n'ai pas redémarré encore.

Voilà, je ne t'envoie pas le dernier hijack car je ne veux pas t'ennuyer plus, et de tte façon, les mêmes envahisseurs reviennent et aussi des nouveaux que l'antivirus a l'air de stopper. Mais je pense que le plus gros est fait maintenant et que je peux utiliser les protections que tu m'a conseillées et appliquer tes conseils que je garde bien. Si tu as juste une idée pour ces hosts ?

Je ne sais comment te remercier, tu es quelqu'un de super sympa et j'apprécie beaucoup. On peut te mettre une note ? Dis moi si je peux t'être utile.

Bravo et merci encore mille fois pour ton aide précieuse.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...