swizzor.co

[geodany]

Rebonsoir geodany, ZoX', rebonsoir à tous,

 

-1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

-2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

-3- Télécharge LSPfix -> http://www.downloads.subratam.org/lspfix.zip ou http://www.cexx.org/lspfix.htm (instructions -> http://www.cexx.org/lspfix.txt ) il faut tout de suite penser à ce logiciel lorsqu'on voir une ligne O10 et en particulier avec NewDotNet car il y a risque de perte de la connexion Internet !.. nous utiliserons LSPfix si nous perdons cette connexion !

--- installation : télécharger LSPfix sur le bureau, éventuellement, le dézipper sur le bureau

 

-4- Lop peut détourner la page de démarrage et/ou installer une barre d'outils.

Attention, il se peut que ton antivirus se mette à hurler lors de cette opération car il croira y reconnaître le malware !

Lopremover sur http://www.thespykiller.co.uk/files/lopremover.exe

ou

Désinfection sur http://www.lop.com/new_uninstall.exe (page de démarrage)

ou http://lop.com/toolbar_uninstall.exe (toolbar)

ou http://66.220.17.157/new_uninstall.exe (page de démarrage)

ou http://66.220.17.157/toolbar_uninstall.exe (toolbar)

Attention, tu vas là sur le site de celui qui envoie les malwares... ne t'y attarde quand même pas !

-5- Redémarre l'ordinateur en mode sans échec.

 

-6- Lancer LSPfix et se mettre en plein écran pour voir boutons et ascenseurs

- cocher la case "I know what I'm doing" (je sais ce que je fais)

- dans la colonne de gauche, sélectionner toutes les instances du fichier à éliminer (newdotnet6_38.dll)

- cliquer sur la flèche vers la droite pour les ajouter (de la colonne KEEP) dans la colonne REMOVE

- scroller et cliquer sur Finish.

 

-7- Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes :

--- je vois que tu as plusieurs antivirus, il faut n'en conserver qu'un, désinstalle l'autre !

--- NewDotNet ou un nom similaire

--- soproc ou nom similaire

 

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

 

-8- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wmwphnpdlvqczscnlkznmpj.net/0Nk...Z9LzBA_/0A.html

 

O2 - BHO: (no name) - {2E0AB9DB-8C55-DCD6-8931-3BC325516B3E} - (no file)

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ThirdNameBaitPing] C:\Documents and Settings\All Users\Application Data\Grid bend third name\LoudSave.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

 

O4 - HKCU\..\Run: [sOProc_RegSoAlertAjWx1Nn] rundll32 shell32.dll,ShellExec_RunDLL C:\PROGRA~1\SOFTWA~1\soproc.exe -pack RegSoAlertAjWx1Nn

 

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

 

O10 - Hijacked Internet access by New.Net

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1123711875875

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

-9- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

--- C:\Documents and Settings\All Users\Application Data\Grid bend third name\LoudSave.exe

--- C:\Program Files\NewDotNet (supprime le dossier)

--- C:\PROGRAm Files\SOFTWA~1 (soproc.exe désolé de ne pas être plus précis) (supprime le dossier)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

-10- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

-11- Qu'en est-il des dysfonctionnements ?

 

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

552661[/snapback]

 

ok j'y vais

[geodany]

ok j'y vais

552671[/snapback]

 

rien ne fonctionne trop crevée je vais me coucher à demain je recommencerai

[ipl_001]

Rebonsoir geodany, rebonsoir à tous,

 

Pourquoi rien ne fonctionne ? explique !

Dis nous ce qui accroche et nous essaierons de t'aider.

[geodany]

Rebonsoir geodany, rebonsoir à tous,

 

Pourquoi rien ne fonctionne ? explique !

Dis nous ce qui accroche et nous essaierons de t'aider.

552689[/snapback]

 

 

Enfin j'ai pu faire toutes les instructions que tu m'avais envoyées, Lundi j'étais trop fatiguée c'était peut être pour ça que rien ne fonctionné.

Maintenant je trouve que mon ordinateur rame beaucoup plus.

Ci-dessous mon nouveau rapport HijackThis

Merci pour tout

 

Logfile of HijackThis v1.99.1

Scan saved at 17:01:07, on 17/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe

C:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Ensemble clavier et souris sans fil Labtec\MulMouse.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktopOE.exe

C:\DOCUME~1\Ligios\LOCALS~1\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.9online.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/download.php?id=2_fra_nero

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [uSBToolTip] "C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [CorelDRAW ESSENTIALS14] C:\Program Files\Corel\CorelDRAW ESSENTIALS 2\Register\Registration.exe /title="CorelDRAW ESSENTIALS" /date=082005 serial=ES02WBF-0090081-USV

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1123711875875

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

[geodany]

Bonsoir à tous bonsoir ipl

Bon je suis déçue, j'ai envoyé mon HijackThis depuis 17h00 suite à l'analyse de ipl et depuis rien personne ne me répond, ce serait sympa si quelqu'un pouvait me dire ce qu'il en pense car moi je suis toujours dans le brouillard avec mon trojan swizzor.co qui maintenant apparait sur swizzor.GF, je ne sais que faire

Merci

[ipl_001]

Bonsoir geodany, bonsoir à tous,

 

Bon je suis déçue

Je ne suis pas très disponible (je ne suis pas en vacances mais au contraire, j'ai des journées très longues et dures !)... je viens de redémarrer du mode sans échec et donc déconnecté, pour tester un nouvel utilitaire !

 

Tout d'abord, je vais partir à la recherche de ta discussion pour fusionner car ce n'est pas une bonne idée d'avoir lancé un nouveau sujet !

 

--- édition :

-1- comment se fait-il qu'HijackThis ne soit pas installé correctement

C:\DOCUME~1\Ligios\LOCALS~1\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

alors qu'il l'était le 15 août ???

C:\Hiajckthis\hijackthis\HijackThis.exe

Rappelle toi bien que si tu le places parmi les fichiers temporaires, tu risques de perdre les "backups" et, entrevoyant ton caractère impatient, çà ne te plairait pas !

 

-2- comment se fait-il que tu aies des traces de plusieurs antivirus (Antivir, Avast et Norton) ?

[geodany]

Bonsoir geodany, bonsoir à tous,

 

Je ne suis pas très disponible (je ne suis pas en vacances mais au contraire, j'ai des journées très longues et dures !)... je viens de redémarrer du mode sans échec et donc déconnecté pour tester un nouvel utilitaire !

 

Tout d'abord, je vais partir à la recherche de ta discussion car ce n'est pas une bonne idée d'avoir lancé un nouveau sujet !

 

--- édition :

Comment se fait-il qu'HijackThis ne soit pas installé correctement alors qu'il l'était le 15 août ??? Rappelle toi bien que si tu le places parmi les fichiers temporaires, tu risques de perdre les "backups" et, entrevoyant ton caractère impatient, çà ne te plairait pas !

553762[/snapback]

Je ne sais pas, pourtant il est sur C et non dans les fichiers temporaires, et qu'est ce qe les backups ?

Je suis désolée de me montrer impatiente, mais j'en ai mare de ce trojan et en plus je ne suis pas trés disponible pour bien m'en occuper

[ipl_001]

Rebonsoir geodany, rebonsoir à tous,

 

Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Décompresse le, double-clique et choisis l'option 1

Poste le rapport généré

 

Relance le programme et choisis cette fois l'option 2 et réponds oui à tout

Redemarre et donne le nouveau rapport

 

Complète par un scan HijackThis que tu posteras aussi

[ipl_001]

Je ne sais pas, pourtant il est sur C et non dans les fichiers temporaires, et qu'est ce qe les backups ?

Je suis désolée de me montrer impatiente, mais j'en ai mare de ce trojan et en plus je ne suis pas trés disponible pour bien m'en occuper

553769[/snapback]

Je ne peux tout de même pas demander à mes supérieurs de passer ma journée sur le forum... si ?

Les "backups" dont je parle sont des fichiers stockés dans un répertoire "backups" et qui permettraient de revenir en arrière en cas d'erreur !

 

J'espère que tu te doutes que swizzor n'est pas un tendre !

[geodany]

Rebonsoir geodany, rebonsoir à tous,

 

Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip

553771[/snapback]

 

1er rapport

SmitFraudFix v1.7

 

Rapport fait à 23:46:34,50 le 17/08/2005

Executé à partir de C:\Documents and Settings\Ligios\Local Settings\Temporary Internet Files\Content.IE5\4HQZ8PER\SmitfraudFix[1]\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Ligios\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

Pour le 2ème rapport option 2 dois-je me mettre en mode sans échec, car c'est recommandé et tu ne me l'as pas dis ?