[Solved: merci queruak] /!\ Cas désespéré.

[queruak]

Re,

 

-Commence par désinstaller un antivirus.Je vois McAfee et Avast qui tournent en meme temps.Cette "cohabitation" contre nature est source de conflit et de ralentissement énorme.Un seul doit etre présent.Tu fais ton choix.

 

-Tu as beaucoup de programmes au démarrage.

 

-Je ne vois aucun pare-feu !

 

-Il reste une petite correction sur le rapport

 

Fais Démarrer -->Exécuter / tape services.msc et clique sur OK

 

Dans la liste des services, cherche et sélectionne

"TurkSpy For RootKit (GencTurK RootKit) " / double clique sur la ligne

/ vérifie dans Chemin d'accès des fichiers exécutables qu'il

s'agit bien de "C:\system.exe " / dans Type de démarrage,

sélectionne Désactiver / valide la modification !

 

-Lance hijackthis --> Config -->Misc Tools -->Delete an NT service,dans la petite boite,colle le nom complet de:TurkSpy For RootKit (GencTurK RootKit)-->OK

 

-En mode sans echec tu supprimes le fichier suivant:

 

C:\system.exe <-LE FICHIER

 

-Redémarre normalement,et poste un nouveau log Hijackthis.

 

La fin est pour bientot !

 

 

Mais bien que j'ai supprimé tout fichier MSN de mon PC, il y'a toujours un petit icône dans la barre de tâche qui se lance au démarrage... je le stop à chaque fois.

Donc ce que je comprend difficilement, c'est que j'ai plus MSN, mais je l'ai quand même... hum hum...

 

MSN n'est jamais désinstallable comm ça.

Il y'avait une astuce(disons une manipulation),mais je n'arrive pas à la retrouver.

On verra plus tard.LOL

Modifié le 4 juin 2005 par queruak

[Anianka]

Re,

 

Ben comme firewall, j'avais ZA, mais il me semble que Avast en voulait pas...

 

Bon je vais garder McAfee, il m'a bien aidé par le passé

 

Je fais ce que tu dis et je reviens au rapport.

 

PS: Donc le fait qu'une icone de MSN se lance à chaque démarrage dans la barre de tâches, ca ne veut pas dire que c'est le virus qui reivent à la charge ?

Modifié le 4 juin 2005 par Anianka

[megataupe]

Bonjour queruak. Pour désinstaller MSN, deux mèthodes possibles :

 

1- Démarrer => Exécuter

Dans le cadre de texte qui s'affiche, tapez :

 

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove

 

 

2- Double cliquez sur le fichier sysoc.inf qui se trouve dans c:\windows\inf pour l'éditer.

Vous devez modifier cette ligne : msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7

Supprimez hide.

La ligne doit donc devenir : msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,,7

 

Allez ensuite dans le panneau de configuration, Ajout/Suppression de programmes, Ajouter ou supprimer des composants Windows et désélectionnez Windows Messenger. Cliquez sur Suivant puis sur Terminer pour valider.

[queruak]

Bonjour queruak. Pour désinstaller MSN, deux mèthodes possibles :

1- Démarrer => Exécuter

Dans le cadre de texte qui s'affiche, tapez :

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove

2- Double cliquez sur le fichier sysoc.inf qui se trouve dans c:\windows\inf pour l'éditer.

Vous devez modifier cette ligne : msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7

Supprimez hide.

La ligne doit donc devenir : msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,,7

 

Allez ensuite dans le panneau de configuration, Ajout/Suppression de programmes, Ajouter ou supprimer des composants Windows et désélectionnez Windows Messenger. Cliquez sur Suivant puis sur Terminer pour valider.

512588[/snapback]

 

Salut megataupe

C'est ce que je cherchais ...Merci !

[Anianka]

J'ai disabled TurkSpy for Rootkit dans services.msc

 

-Lance hijackthis --> Config -->Misc Tools -->Delete an NT service,dans la petite boite,colle le nom complet de:TurkSpy For RootKit (GencTurK RootKit)-->OK

 

J'ai (ré)essayé 12 fois avec le "nom complet", il ne le trouve pas.

 

Je ne peux pas delete le fichier c:\system.exe en mode sans échec, parcequ'il ne le trouve pas non plus.

 

Et ci-dessous, le new log Hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 19:12:41, on 04/06/2005

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\Program Files\QuickTime\qttask.exe

C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Internet Explorer\iexplore.exe

c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\progra~1\mcafee.com\vso\mcvsftsn.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\-\Mes documents\Unzipped\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f006.mail.caramail.lycos.fr/app/upl...ileUploader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E1EEFB18-6C2A-4832-96C4-C00D3869BC3F}: NameServer = 212.27.54.252 212.27.39.1

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

PS: Merci megataupe, je fais la manip de suite.

Modifié le 4 juin 2005 par Anianka

[queruak]

Re,

 

J'ai disabled TurkSpy for Rootkit dans services.msc

J'ai (ré)essayé 12 fois avec le "nom complet", il ne le trouve pas.

Je ne peux pas delete le fichier c:\system.exe en mode sans échec, parcequ'il ne le trouve pas non plus.

Aucun souci à se faire,la ligne néfaste n'est plus présente sur le rapport.

 

Les lignes que je vais te faire "fixer" sur le rapport ne sont pas néfastes,c'est dans le but d'optimiser.

Les programmes que je vais désactiver,tu peux les relancer ,si besoin en est,via Msconfig .

 

Je regarde ton nouveau rapport.

[Anianka]

Ok, merci queruak.

 

Megataupe concernant le remove de MSN, il y'a une action que je n'arrive pas à faire, c'est:

 

2- Double cliquez sur le fichier sysoc.inf qui se trouve dans c:\windows\inf pour l'éditer.

Vous devez modifier cette ligne : msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7

Supprimez hide.

La ligne doit donc devenir : msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,,7

 

Je n'arrive pas à entrer dans le fichier sysoc.inf (il existe, mais je ne peux pas l'exécuter pour modifier la ligne de script).

 

Autrement ca a tout fonctionné.

 

PS: Je vais chercher à manger, je reviens d'ici 3/4 d'heure, voir 1 heure... donc vous pouvez prendre votre temps bon app.

[queruak]

Re à tous,

 

"Fixe " les lignes suivantes

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f006.mail.caramail.lycos.fr/app/upl...ileUploader.cab

 

-Ensuite termine le néttoyage par EasyCleaner.

Inutiles et Registre.

[Anianka]

Bon j'ai pu download EasyCleaner, j'ai fixé ce que tu as indiqué sous HijackThis, je m'occupe de faire le ménage et je revient vous dire ce que ca a donné.

 

En attendant y'a Smallville qui commence

 

A plus.

[queruak]

Bon j'ai pu download EasyCleaner, j'ai fixé ce que tu as indiqué sous HijackThis, je m'occupe de faire le ménage et je revient vous dire ce que ca a donné.

En attendant y'a Smallville qui commence

A plus.

512649[/snapback]

Je vois avec plaisir que tu as retrouvé le sourire !

Daccord,mais ne reviens pas à 1h ou 2h du mat' ,toi tu es un noctambule,ton cas m'a disloqué,vidé,et mon cerveau me sort par les oreilles

Modifié le 4 juin 2005 par queruak