Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Solved: merci queruak] /!\ Cas désespéré.

Anianka

Par Anianka
dans Analyses et éradication malwares

 Partager

Messages recommandés

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonsoir Anianka, queruak, BipBip, bonsoir à tous,

 

Oui lance l'exécution de VirusBdRRepair et fais taire tes antimalwares !

Anianka Member

Anianka

Posté(e)
  • Auteur
Posté(e)

Bon, résumé:

 

Concernant Fixwen, np

 

VirusBdRRepair, np.

 

SmartKiller, me dis ceci: "CoolWWWSearch.SmartKiller (v1/v2) has not ben found on your system." "OK".

 

C'est ce qui devait se passer ?

 

Si oui, c'est quoi la marche à suivre, svp ?

queruak Full Patch Member

queruak

Posté(e)
Posté(e)

Rebonsoir,

 

Tu redémarres,et dis nous si les dysfonctionnements persistent.

Si oui,télécharge et éxecute ce fichier(ok,ok jusqu'à réparation)

http://www.bellamyjc.net/download/vbs/restorereg.vbs

 

Est ce que tu peux poster un rapport hijackthis ?

http://www.merijn.org/files/hijackthis.zip

 

-- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé.

--- cliquer sur 'Scan', l'affichage est instantané.

--- à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.

--- une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

--- mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire.

--- fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.

--- attendre l'analyse et la réponse.

 

Anianka Member

Anianka

Posté(e)
  • Auteur
Posté(e)

Oui, je peux vous poster un log d'Hijackthis, mais ce sera en mode sans échec, car autrement je ne peux pas lancer le prog... j'ai déjà essayé.

 

Merci à vous tous de veiller aussi tard et de m'aider, j'en peux plus là... ca fait depuis hier que j'ai pas dormis, mon ordi est vital en ce moment.

queruak Full Patch Member

queruak

Posté(e)
Posté(e)

Alors éxecute le fichier que je t'ai indiqué.

Redémarre.

Poste un log hiajckthis.

 

Merci à vous tous de veiller aussi tard et de m'aider, j'en peux plus là... ca fait depuis hier que j'ai pas dormis, mon ordi est vital en ce moment.

 

De rien ,on fera tout pour résoudre ton probleme.N'est ce pas ipl ? :P

Anianka Member

Anianka

Posté(e)
  • Auteur
Posté(e) (modifié)

Re,

 

Alors, après avoir effectuer un reboot, je peux vous dire que les dysfonctionnements sont toujours présents, et ca à même faillit s'aggraver (je dis s'aggraver car MSN, se lancait tout seul en 30 sec sans que je puisse l'en empêcher, et si je voulais le fermer, il me mettait un message d'erreur me disant que je ne peux pas le couper car d'autres prgrammes l'utilisent, etc... conclusion, j'ai de nouveau commencé à harceler mes contacts en leurs envoaynt l'url foireuse et je n'ai eu d'autres choix que de faire un reboot à la main, et de supprimer MSN pour éviter que ca se reproduise)

 

Ensuite, j'ai pris le temps de regarder un peut mon c:, et j'ai constaté ceci:

 

deux nouvelles commandes MS-DOS sont apparue dans mon c: c'est c:\a.bat et c:\b.bat ... ainsiq qu'un fichier AUTOEXEC que je ne parvient pas à identifier.

 

Je les ai delete, et ils sont revenus (je devrais peut être commencer à regarder par là).

 

De plus, au démarrage, mon AntiSpyware, bloque les deux MS-DOS (a et b) alors qu'ils tentent de s'éxécuter, c'est donc qu'ils doivent être suspects.

 

Ensuite quand j'ai essayé de lancer mon AntiSpyware (pour la ènième fois), un fichier est apparu sur mon bureau, c'est "gcmd5query.dll" ... d'où il vient celui là ??

 

Bon autrement voici ce qui s'est passé quand j'ai lancé Hijackthis en "mode sans échec" ... ca s'est produit dès le lancement du scan:

 

6b866ti.jpg

 

Et ca c'est mon log:

 

Logfile of HijackThis v1.99.1

Scan saved at 23:46:13, on 31/05/2005

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\-\Mes documents\Unzipped\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [mswk.exe] C:\WINDOWS\mswk.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f006.mail.caramail.lycos.fr/app/upl...ileUploader.cab

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\msyt.exe (file missing)

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

Inutile de vous dire que je n'y comprend pas grand chose...

 

[Edit: J'ai exécuté restorereq dans le lien que tu avais donné querauk, mais j'ai toujours les mêmes soucis]

Modifié par Anianka
queruak Full Patch Member

queruak

Posté(e)
Posté(e)

Re,

 

Avec un systeme "nu" sans mises à jour,et les failles que cela sous entend...

Logfile of HijackThis v1.99.1

Scan saved at 23:46:13, on 31/05/2005

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Je regarde le rapport,reponse dans quelques instants.

 

@+

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonsoir à tous,

Alors éxecute le fichier que je t'ai indiqué.

Redémarre.

Poste un log hiajckthis.

De rien ,on fera tout pour résoudre ton probleme.N'est ce pas ipl ?  :-(

511026[/snapback]

Okay queruak !

J'étais sur un autre ordinateur à travailler à ListReg-gM mais je ne suis pas loin ! :P

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonsoir Anianka, queruak, rebonsoir à tous,

 

queruak, tout ce que fait RestoreReg.vbs est fait par VirusBdrRepair.vbs (dit autrement ce dernier est le plus complet de la clique RestoreReg, RestoreRegEdit et fixSwen).

queruak Full Patch Member

queruak

Posté(e)
Posté(e) (modifié)

Re,

 

-1-Télécharge EasyCleaner.

http://personal.inet.fi/business/toniarts/ecleane.htm

 

-2-Assure toi d'avoir accés à tous les fichiers.

Poste de travail

Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer".

 

-3-Redémarre en mode sans echec.

 

-4-Fais Démarrer / Exécuter / tape services.msc et clique sur OK

-Dans la liste des services, cherche et sélectionne

"Service: Network Security Service " / double clique sur la ligne

/ vérifie dans Chemin d'accès des fichiers exécutables qu'il

s'agit bien de "C:\WINDOWS\system32\msyt.exe " / dans Type de démarrage,

sélectionne Désactiver / valide la modification !

 

-Lance Hijackthis -->Config --->MiscTools --->Delete an NT service -->Sur la petite fenetre qui s'affiche,et dans la petite boite,entre Network Security Service ,puis clique sur OK.

 

-5-Lance Hijackthis,scan,et coche les lignes en gras ci-dessous.

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [mswk.exe] C:\WINDOWS\mswk.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f006.mail.caramail.lycos.fr/app/upl...ileUploader.cab

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\msyt.exe (file missing)

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

-6-Ferme toutes les fenetres Internet Explorer,Outlook Express sauf Hijackthis,puis clique sur "Fix checked"

 

-7-Supprime les fichiers suivants.

C:\WINDOWS\mswk.exe <-le fichier

C:\WINDOWS\system32\msyt.exe <-le fichier

C:\WINDOWS\system32\wkssvc32.exe <-le fichier

 

-Vide la corbeille.

 

-8-Passe EasyCleaner.

N'utilise que les fonctions Inutiles et Registre.

Supprime tout ce qu'il te propose

 

-9-Redémarre normalement et essaye de poster un nouveau log Hijackthis.

 

-Communique les résultats.

 

Remarque:pourquoi est ce que tu as deux antivirus ?

Avast et mcafee

Modifié par queruak

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...