Probleme avec winfixer 2005

yanou · le 10 août 2005

Bonjour je me présente à vous, parce que je suis bloqué avec ce fameux Malware (je pense) le winfixer 2005, impossible de le virer, j'ai anti spyware de chez wanadoo, spybot, j'ai passé un petit coup de regcleaner, mais rien cette fenêtre revient tout le temps. C'est le parcour du combatant pour rester connecter sur un site sans ces messages, si vous pouviez m'aider SVP, merci d'avance. voici mon rapport

Logfile of HijackThis v1.99.1

Scan saved at 16:57:57, on 10/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Office keyboard utility\1.1\nhksrv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\WINDOWS\Explorer.exe

c:\windows\system32\mnpzzdc.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\invbn.exe

C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Logitech\SetPoint\KEM.exe

C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\eMule\emule.exe

C:\Program Files\PowerArchiver\POWERARC.EXE

C:\DOCUME~1\Yannick\LOCALS~1\Temp\_PA530\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {279B44F0-FD41-49F1-841F-58A07277452A} - C:\Program Files\7h1sy64t\7h1sy64t.dll

O2 - BHO: MSW.cIExplorer - {4B57B77A-B130-4EB8-8CFB-42B880F6D311} - C:\Documents and Settings\All Users\Application Data\msw\MSW.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll

O2 - BHO: (no name) - {80583B9C-096D-48D1-B6C2-4134E6FC77B5} - (no file)

O2 - BHO: (no name) - {9BE592EA-CB32-4BD6-AE55-4AB32C9C107B} - C:\Program Files\7h1sy64t\7h1sy64t.dll

O2 - BHO: (no name) - {9D3656A3-397E-4E22-BAA9-B63517CFAD07} - C:\Program Files\7h1sy64t\7h1sy64t.dll

O2 - BHO: (no name) - {B0F07A08-4771-488E-ADB7-AC6496FEACDC} - (no file)

O2 - BHO: (no name) - {C7E6CCB7-0E80-4BEB-8340-C290C71D31C8} - C:\Program Files\7h1sy64t\7h1sy64t.dll

O2 - BHO: (no name) - {CF1A8671-7191-407A-905F-C0778357DB1A} - C:\Program Files\7h1sy64t\7h1sy64t.dll

O2 - BHO: (no name) - {DD77487A-73AA-47B0-884A-E661FB05F1F3} - (no file)

O2 - BHO: (no name) - {E8E32CEC-CD79-442F-A823-C73CAB5E02F8} - C:\Program Files\7h1sy64t\7h1sy64t.dll

O2 - BHO: (no name) - {E944022D-0F98-4305-8759-59F8BBD7395B} - C:\Program Files\7h1sy64t\7h1sy64t.dll

O2 - BHO: (no name) - {F2C9E6BC-CD36-44CF-94F8-E2776231E1A6} - C:\Program Files\7h1sy64t\7h1sy64t.dll

O2 - BHO: (no name) - {F2DF0DC4-A152-4C7C-A8F5-C97F7815D7CA} - C:\Program Files\7h1sy64t\7h1sy64t.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe

O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe

O4 - HKLM\..\Run: [bNInv] invbn.exe

O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\Anti-Spyware\fsaswreg.exe"

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [surfSideKick 3] C:\Program Files\SurfSideKick 3\Ssk.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [yltgog] c:\windows\system32\dyymlx.exe r

O4 - HKLM\..\Run: [wbsnxq] c:\windows\system32\zqpits.exe r

O4 - HKLM\..\Run: [fjecmg] c:\windows\system32\mnpzzdc.exe r

O4 - HKCU\..\Run: [AWMON] "C:\Program Files\Securitoo\Anti-Spyware\Ad-Monitor.exe"

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Hijacked Internet access by New.Net

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4208FB4D-4E53-4F5A-BF7A-3E047DDB5281} (ActiveX Control) - http://www.icannnews.com/app/ST/ActiveX.ocx

O16 - DPF: {47CD99DF-8BCF-4B9B-94EF-02E51B2F79DA} - http://www.alwaysupdatednews.com/install/aun_0035.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1109369460718

O17 - HKLM\System\CCS\Services\Tcpip\..\{945B7BAF-71B6-43C0-A981-47395C644DE0}: NameServer = 192.168.1.1

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\cwyptdlg.dll

O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Office keyboard utility\1.1\nhksrv.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

le 10 août 2005

Bonjour, c 'est chargé...

Télécharge

ABIremover

http://forum.hijackthis.de/attachment.php?attachmentid=177

Ewido

http://www.ewido.net/

Installe et mets à jour

Démarre en mode sans échec (impérativement en mode sans échec)

Installe ABIremover, patiente... pendant ce temps l'explorateur Windows se fermera

Scanne ton ordinateur avec Ewido.

Redémmarre, poste le rapport d'Ewido avec un nouveau rapport Hijackthis

yanou · le 10 août 2005

Merci beaucoup je vais faire ça de suite

yanou · le 10 août 2005

Alors j'ai voulu telecharger ABIremover mais j'ai eu une erreur windows, bref jai telechargé EWIDO impecable. J'ai demarré en mode sans echec puis lançé EWIDO, il ma trouvé 200 objets infectés dans la base de registre, 100 dans le systeme et 4 dans la memoire. J'ai coorigé les erreurs donc désinfectés, et là surprise je me retrouve avec le fond d'ecran windows et quelques racourcis sur mon bureau mais pleins ont sautés j'ai toujours tout mes programmes heureusement mais toujours ce winfixer 2005. Je sais pas si j'ai fait une boulette, en tout cas voilà mon rapport

Logfile of HijackThis v1.99.1

Scan saved at 00:50:28, on 11/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Office keyboard utility\1.1\nhksrv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.exe

c:\windows\system32\aitwqu.exe

C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Logitech\SetPoint\KEM.exe

C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\PowerArchiver\POWERARC.EXE

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_PA856\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {279B44F0-FD41-49F1-841F-58A07277452A} - (no file)

O2 - BHO: (no name) - {4B57B77A-B130-4EB8-8CFB-42B880F6D311} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O2 - BHO: (no name) - {80583B9C-096D-48D1-B6C2-4134E6FC77B5} - (no file)

O2 - BHO: (no name) - {9BE592EA-CB32-4BD6-AE55-4AB32C9C107B} - (no file)

O2 - BHO: (no name) - {9D3656A3-397E-4E22-BAA9-B63517CFAD07} - (no file)

O2 - BHO: (no name) - {B0F07A08-4771-488E-ADB7-AC6496FEACDC} - (no file)

O2 - BHO: (no name) - {C7E6CCB7-0E80-4BEB-8340-C290C71D31C8} - (no file)

O2 - BHO: (no name) - {CF1A8671-7191-407A-905F-C0778357DB1A} - (no file)

O2 - BHO: (no name) - {DD77487A-73AA-47B0-884A-E661FB05F1F3} - (no file)

O2 - BHO: (no name) - {E8E32CEC-CD79-442F-A823-C73CAB5E02F8} - (no file)

O2 - BHO: (no name) - {E944022D-0F98-4305-8759-59F8BBD7395B} - (no file)

O2 - BHO: (no name) - {F2C9E6BC-CD36-44CF-94F8-E2776231E1A6} - (no file)

O2 - BHO: (no name) - {F2DF0DC4-A152-4C7C-A8F5-C97F7815D7CA} - (no file)

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe

O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\Anti-Spyware\fsaswreg.exe"

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [surfSideKick 3] C:\Program Files\SurfSideKick 3\Ssk.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [sjwqxxo] c:\windows\system32\aitwqu.exe r

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4208FB4D-4E53-4F5A-BF7A-3E047DDB5281} - http://www.icannnews.com/app/ST/ActiveX.ocx

O16 - DPF: {47CD99DF-8BCF-4B9B-94EF-02E51B2F79DA} - http://www.alwaysupdatednews.com/install/aun_0035.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1109369460718

O17 - HKLM\System\CCS\Services\Tcpip\..\{945B7BAF-71B6-43C0-A981-47395C644DE0}: NameServer = 192.168.1.1

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)

O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\cwyptdlg.dll

O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Office keyboard utility\1.1\nhksrv.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

Thanos · le 10 août 2005

salut yanou , étonnant que tu ne puisses pas executer ABIremover:

Crées un fichier avec le bloc note et colle ce texte dedans :

ECHO OFF
cd\windows
Nail.exe /FULLREMOVE
sc config SvcProc start= disabled
sc stop SvcProc
sc delete SvcProc
attrib -s -r -h nail.exe
attrib -s -r -h svcproc.exe
del nail.exe
del svcproc.exe
exit

Enregistre le fichier sur ton bureau sous le nom remove.bat en séllectionnant "all" dans type de fichier

----

Redémarre en mode sans échec (session administrateur si possible), (en tapotant F8 au démarrage).

---

Double-clic sur remove.bat. Une fenêtre devrait s'ouvrir et se fermer très rapidement --- c'est normal.

essaie voir ceci et reposte un log

Ne met pas hijackthis dans un dossier temporaire stp, crée un dossier pour lui(C:\hijackthis par ex.)=>en cas de problèmes pas de backup!

yanou · le 10 août 2005

Merci monsieur ingals je comprend pas pourquoi je ne peux pas installer ABIremover excuse moi mais tu veux que je crée un fichier comment et ou?

Thanos · le 10 août 2005

re yanou

il s'agissait de copier/coller le code dans un fichier text (sur ton bureau par exemple

=>clic droit sur le bureau=> nouveau=>document text)

fichier que tu nommes "remove.bat ". Ca permet de virer ceci=>

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

puisque ABI ne semble pas fonctionner:

Alors j'ai voulu telecharger ABIremover mais j'ai eu une erreur windows

Mais je vois que tu es en de bonnes mains avec stonangel, je m'efface

Modifié le 10 août 2005 par charles ingals

yanou · le 10 août 2005

En tout cas merci charles de m'aider surtout à cette heure tardive

Thanos · le 10 août 2005

y a pas de soucis yanou ,stonangel va se faire un plaisir de te nettoyer ca

yanou · le 10 août 2005

Cool au plaisir de te relire

Connexion

Pas encore inscrit ?

Probleme avec winfixer 2005

Messages recommandés

yanou

Invité Stonangel

yanou

yanou

Thanos

yanou

Thanos

yanou

Thanos

yanou

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer