[Résolu] Problème pendant la phase pré-hijackthis

[Circé]

Bonjour à tous

 

 

Comme j'ai rencontré un petit problème de trojan, j'ai décidé de mettre en application la procédure avant tout rapport d'analyse hijackthis (téléchager antivir, démarrage en mode sans échec...)

J'arrive à la phase où je dois effacer les fichiers se trouvant à l'intérieur du dossier C://documents and settings/utilisateur 1/local setting/temp. J'ai réussi à en effacer la plupart, mais il y en a qui résistent Il s'agit de DF1189.tmp, WRS0003.tmp, WRF0000.tmp, DFFB6E.tmp

Lorsque j'essaie de supprimer ces fichiers, un message d'erreur s'affiche: "Impossible de supprimer DF6E13.tmp: accès refusé. Vérifier que le disque n'est pas plein ou protégé en écriture et que le fichier n'est pas utilisé actuellement"

Pourtant je n'avais aucune autre fenêtre ouverte

 

 

Si quelqu'un pouvait éclairer ma lanterne

Modifié le 29 août 2005 par Circé

[Invité tesgaz]

salut,

 

c'est normal, ton systeme fonctionne et certains fichiers temp sont utilisés directement par le systeme à ce moment là

 

donc, l'important, c'est de supprimer les autres, tout ceux enregistrés par les séances de surf, de téléchargements, d'installation

[megataupe]

Bonjour Circe. Rien de grave, ces fichiers temp sont sans doute utilisés et tu ne peux les supprimer, continue la procédure.

 

Arg!!!! Tesgaz et son clavier hyperspeed plus rapide une fois de plus

Modifié le 28 août 2005 par megataupe

[Circé]

Waaa, vous êtes super rapide

 

 

Oki, merci Bon, je recommence tout et je posterai mon rapport hijackthis dès que j'aurai fini

[Invité tesgaz]

Arg!!!! Tesgaz   et son clavier hyperspeed plus rapide une fois de plus

560863[/snapback]

 

 

 

c'est parce que j'ai le modèle Lucky-lucke

[Circé]

A y est, j'ai fini (à ma vitesse de croisière zen )

 

 

J'ai rencontré un autre problème lors de l'utilisisation d'antivir. Il a bugué au bout de 17 secondes

 

Cette fois j'ai quand même continué la procédure et voici mon rapport:

 

Logfile of HijackThis v1.99.1

Scan saved at 13:15:44, on 28/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\Program Files\Microsoft Works\WkDStore.exe

C:\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.rmwvrcwiqlvessadnk.com/G/rm4KSi...bloW4k3W_7w.cgi

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wxpzlfnvvboyfpiyhnhiogehs.com/G...gguUDsBrT7k.jsp

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: (no name) - {C0ED7934-E39D-E710-D16D-B39622442A29} - C:\DOCUME~1\UTILIS~1\APPLIC~1\32ACTI~1\Setup 4.exe

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [messgreatwarnbait] C:\Documents and Settings\All Users\Application Data\Nurb Load Mess Great\send open.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL

O4 - HKLM\..\Run: [Wanadoo Messager.exe] "C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe" /background

O4 - HKLM\..\Run: [Poke 01 clock locks] C:\Documents and Settings\All Users\Application Data\Gpl Soft Poke 01\each long.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\RunOnce: [L03FDXRC_22927609] C:\Program Files\Microsoft Encarta\Collection Encarta 2003\EDICT.EXE -m

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1123941208296

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE (file missing)

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe

O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe

[Invité Stonangel]

Bonjour, je regarde ton rapport, réponse dans un moment.

[Invité Stonangel]

Re, télécharge:

 

EasyCleaner de Toni Helenius

http://personal.inet.fi/business/toniarts/ecleane.htm

 

l’uninstall lop.com

http://lop.com/toolbar_uninstall.exe ou

http://lop.com/new_uninstall.exe

 

Attention ton antivirus risque de se déclencher. Désactive le si nécessaire.

 

Si SpyBot ou un autre logiciel de sécurité t'empêche de le faire (message de sécurité):

-IE->outils->options internet->sécurité

-Sites sensibles : enlève Lop.com

-Télécharge le fichier

-Remets Lop.com en site sensible

 

-Lance le fichier

 

Redémarre. Désinstalle via Ajout/Suppression de programmes cette application, tula réinstalleras ultérieurement en décochant le sponsor:

 

Messenger Plus! 3

 

Démarre en mode sans échec (F8 ou F5)

 

Assure toi d'avoir accès à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.rmwvrcwiqlvessadnk.com/G/rm4KSi...bloW4k3W_7w.cgi

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wxpzlfnvvboyfpiyhnhiogehs.com/G...gguUDsBrT7k.jsp

 

 

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [messgreatwarnbait] C:\Documents and Settings\All Users\Application Data\Nurb Load Mess Great\send open.exe

 

O4 - HKLM\..\Run: [Poke 01 clock locks] C:\Documents and Settings\All Users\Application Data\Gpl Soft Poke 01\each long.exe

 

 

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1123941208296

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

 

Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked

 

Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

C:\Program Files\Messenger Plus! 3

C:\Documents and Settings\All Users\Application Data\Nurb Load Mess Great

C:\Documents and Settings\All Users\Application Data\Gpl Soft Poke 01

 

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

Exécute EasyCleaner Inutiles et Registre seulement. Ne pas toucher à la fonction doublon.

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

 

NB: Tu as deux antivirus. Pense à en désinstaller un.

 

O2 - BHO: (no name) - {C0ED7934-E39D-E710-D16D-B39622442A29} - C:\DOCUME~1\UTILIS~1\APPLIC~1\32ACTI~1\Setup 4.exe

< Qu'est-ce que c'est?

[Circé]

O2 - BHO: (no name) - {C0ED7934-E39D-E710-D16D-B39622442A29} - C:\DOCUME~1\UTILIS~1\APPLIC~1\32ACTI~1\Setup 4.exe

< Qu'est-ce que c'est?

560924[/snapback]

Je ne sais pas mais je crois que c'est pas bon. C'est au niveau de ce fichier qu'antivir a bugué et lors d'un scan, l'antivirus a repéré un trojan dans C://documents ans settings/utilisateur 1/application data/32 active/setup 4.exe

 

 

-Lance le fichier

 

Redémarre. Désinstalle via Ajout/Suppression de programmes cette application, tula réinstalleras ultérieurement en décochant le sponsor:

 

Messenger Plus! 3

Je n'ai pas trop compris cette étape Je dois lancer uninstall lop.com, redémarrer, désintaller uninstall lop.com, supprimer messenger plus!3 puis réinstaller uninstall lop.com ??

 

(je m'embrouille moi-même )

[Invité tesgaz]

Salut,

 

non , Stonangel te parle de messenger 3

 

tu le desinstallae et tu le réinstalle en interdisant les sponsors