Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Circé

[Résolu] Problème pendant la phase pré-hijackthis

Messages recommandés

Bonjour à tous :P

 

 

Comme j'ai rencontré un petit problème de trojan, j'ai décidé de mettre en application la procédure avant tout rapport d'analyse hijackthis (téléchager antivir, démarrage en mode sans échec...)

J'arrive à la phase où je dois effacer les fichiers se trouvant à l'intérieur du dossier C://documents and settings/utilisateur 1/local setting/temp. J'ai réussi à en effacer la plupart, mais il y en a qui résistent :P Il s'agit de DF1189.tmp, WRS0003.tmp, WRF0000.tmp, DFFB6E.tmp

Lorsque j'essaie de supprimer ces fichiers, un message d'erreur s'affiche: "Impossible de supprimer DF6E13.tmp: accès refusé. Vérifier que le disque n'est pas plein ou protégé en écriture et que le fichier n'est pas utilisé actuellement"

Pourtant je n'avais aucune autre fenêtre ouverte :-P

 

 

Si quelqu'un pouvait éclairer ma lanterne :-(

Modifié par Circé

Partager ce message


Lien à poster
Partager sur d’autres sites

Invité tesgaz

salut,

 

c'est normal, ton systeme fonctionne et certains fichiers temp sont utilisés directement par le systeme à ce moment là

 

donc, l'important, c'est de supprimer les autres, tout ceux enregistrés par les séances de surf, de téléchargements, d'installation

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Circe. Rien de grave, ces fichiers temp sont sans doute utilisés et tu ne peux les supprimer, continue la procédure.

 

Arg!!!! Tesgaz :P et son clavier hyperspeed plus rapide une fois de plus :P

Modifié par megataupe

Partager ce message


Lien à poster
Partager sur d’autres sites
Invité tesgaz

Arg!!!! Tesgaz :-P  et son clavier hyperspeed plus rapide une fois de plus :P

560863[/snapback]

 

 

:P:-P:-(:-P:-P:-P:-P

 

c'est parce que j'ai le modèle Lucky-lucke :P:P:-P

Partager ce message


Lien à poster
Partager sur d’autres sites

A y est, j'ai fini (à ma vitesse de croisière zen :P )

 

 

J'ai rencontré un autre problème lors de l'utilisisation d'antivir. Il a bugué au bout de 17 secondes :P

 

Cette fois j'ai quand même continué la procédure et voici mon rapport:

 

Logfile of HijackThis v1.99.1

Scan saved at 13:15:44, on 28/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\Program Files\Microsoft Works\WkDStore.exe

C:\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.rmwvrcwiqlvessadnk.com/G/rm4KSi...bloW4k3W_7w.cgi

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wxpzlfnvvboyfpiyhnhiogehs.com/G...gguUDsBrT7k.jsp

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: (no name) - {C0ED7934-E39D-E710-D16D-B39622442A29} - C:\DOCUME~1\UTILIS~1\APPLIC~1\32ACTI~1\Setup 4.exe

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [messgreatwarnbait] C:\Documents and Settings\All Users\Application Data\Nurb Load Mess Great\send open.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL

O4 - HKLM\..\Run: [Wanadoo Messager.exe] "C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe" /background

O4 - HKLM\..\Run: [Poke 01 clock locks] C:\Documents and Settings\All Users\Application Data\Gpl Soft Poke 01\each long.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\RunOnce: [L03FDXRC_22927609] C:\Program Files\Microsoft Encarta\Collection Encarta 2003\EDICT.EXE -m

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1123941208296

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE (file missing)

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe

O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe

Partager ce message


Lien à poster
Partager sur d’autres sites
Invité Stonangel

Re, télécharge:

 

EasyCleaner de Toni Helenius

http://personal.inet.fi/business/toniarts/ecleane.htm

 

luninstall lop.com

http://lop.com/toolbar_uninstall.exe ou

http://lop.com/new_uninstall.exe

 

Attention ton antivirus risque de se déclencher. Désactive le si nécessaire.

 

Si SpyBot ou un autre logiciel de sécurité t'empêche de le faire (message de sécurité):

-IE->outils->options internet->sécurité

-Sites sensibles : enlève Lop.com

-Télécharge le fichier

-Remets Lop.com en site sensible

 

-Lance le fichier

 

Redémarre. Désinstalle via Ajout/Suppression de programmes cette application, tula réinstalleras ultérieurement en décochant le sponsor:

 

Messenger Plus! 3

 

Démarre en mode sans échec (F8 ou F5)

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.rmwvrcwiqlvessadnk.com/G/rm4KSi...bloW4k3W_7w.cgi

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wxpzlfnvvboyfpiyhnhiogehs.com/G...gguUDsBrT7k.jsp

 

 

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [messgreatwarnbait] C:\Documents and Settings\All Users\Application Data\Nurb Load Mess Great\send open.exe

 

O4 - HKLM\..\Run: [Poke 01 clock locks] C:\Documents and Settings\All Users\Application Data\Gpl Soft Poke 01\each long.exe

 

 

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1123941208296

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

 

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

 

Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

C:\Program Files\Messenger Plus! 3

C:\Documents and Settings\All Users\Application Data\Nurb Load Mess Great

C:\Documents and Settings\All Users\Application Data\Gpl Soft Poke 01

 

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

Exécute EasyCleaner Inutiles et Registre seulement. Ne pas toucher à la fonction doublon.

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

 

NB: Tu as deux antivirus. Pense à en désinstaller un.

 

O2 - BHO: (no name) - {C0ED7934-E39D-E710-D16D-B39622442A29} - C:\DOCUME~1\UTILIS~1\APPLIC~1\32ACTI~1\Setup 4.exe
< Qu'est-ce que c'est?

Partager ce message


Lien à poster
Partager sur d’autres sites
O2 - BHO: (no name) - {C0ED7934-E39D-E710-D16D-B39622442A29} - C:\DOCUME~1\UTILIS~1\APPLIC~1\32ACTI~1\Setup 4.exe

< Qu'est-ce que c'est?

560924[/snapback]

Je ne sais pas mais je crois que c'est pas bon. C'est au niveau de ce fichier qu'antivir a bugué et lors d'un scan, l'antivirus a repéré un trojan dans C://documents ans settings/utilisateur 1/application data/32 active/setup 4.exe

 

 

-Lance le fichier

 

Redémarre. Désinstalle via Ajout/Suppression de programmes cette application, tula réinstalleras ultérieurement en décochant le sponsor:

 

Messenger Plus! 3

Je n'ai pas trop compris cette étape :-P Je dois lancer uninstall lop.com, redémarrer, désintaller uninstall lop.com, supprimer messenger plus!3 puis réinstaller uninstall lop.com ??

 

(je m'embrouille moi-même :P:P )

Partager ce message


Lien à poster
Partager sur d’autres sites
Invité tesgaz

Salut,

 

non , Stonangel te parle de messenger 3

 

tu le desinstallae et tu le réinstalle en interdisant les sponsors

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×