sos virus suite

[manolo]

bonjour a tous

j'ai supprimer new do net par panneau config ajout/suppression de programmes en mode sans echec et j'ai perdu la connexion internet.

j'ai execute lspfix en mode normal et en mode sans echec ...toujours pas de connexion??

voici mon rapport lsp:

lsp fix executer : repair sumary

repairs complete

*name spaceprovider entries removed

*name spaceprovider entries renumbered

*protocol provider entries removed

*protocol provider entries renumbered.

merci de m'indiquer la marche a suivre....

obliger de faire la manip depuis un poste du bureau

la galere!!!!...

[Thanos]

salut manolo

 

La supression de Newdotnet par ajout\supression de programme n'est pas suffisante!

 

des outils spécifiques doivent être utilisés!!

 

En ce qui concerne Lspfix, tu le démarre; tu coches "I know what I'm doing" et tu cliques

 

sur "Finish":redémarre le pc. Tiens nous au courant et n'hesite pas à poster ton log hijackthis pour

 

voir si newdot y est encore!

Modifié le 6 septembre 2005 par charles ingals

[manolo]

[COLOLogfile of HijackThis v1.99.1 3

Scan saved at 13:36:18, on 30/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe

O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe

O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"

O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [sO5 Integrator Pass Two] C:\Office51\SOINTGR.EXE

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [5e5726452c97] C:\WINDOWS\System32\adptif59.exe

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Trust\460LR MOUSE WIRELESS OPTICALOFFICE\1.1\moffice.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe

O4 - HKLM\..\Run: [saiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [MimBoot] C:\Program Files\Musicmatch\Musicmatch Jukebox\mimboot.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updater] C:\Program Files\Carpe Diem\Oversexe_ejaculations[1]\CDUpdater.exe CD_UPDATER

O4 - HKCU\..\Run: [popupeclair] C:\Program Files\Popup Eclair\popupeclair.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe (file missing)

O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe (file missing)

O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartService.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

 

voici mon rapport hijacthis après suppression de newdonet par ajout/suppression dans panneau de configuration.

pouvez-vous me dire si maintenant tout est ok?

[manolo]

y-a-t'il quelqun pour m'aider?

j'ai refait un scan avec la symantec et j'ai toujours le même problème de virus.

[Jack_Burton]

Bonjour manolo

 

J analyse ton rapport. Réponse dans une vingtaine de minutes.

[Jack_Burton]

Re

 

Newdot le grand vilain n est plus sur ton rapport. C est déja une bonne chose.

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/Désinstalles via "panneau de configuration/ suppression de programmes" les logiciels suivants s ils y sont :

-P2P Networking

-ActivSurf

-Carpe Diem

-popupeclair

 

5/Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

 

-O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe

 

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

 

O4 - HKLM\..\Run: [5e5726452c97] C:\WINDOWS\System32\adptif59.exe

 

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

 

O4 - HKCU\..\Run: [updater] C:\Program Files\Carpe Diem\Oversexe_ejaculations[1]\CDUpdater.exe CD_UPDATER

 

O4 - HKCU\..\Run: [popupeclair] C:\Program Files\Popup Eclair\popupeclair.exe

 

O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe (file missing)

O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe (file missing)

O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm

 

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

 

Fixes toutes ces lignes

 

6/ Supprime les fichiers et dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

-C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe

-C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

-C:\WINDOWS\System32\adptif59.exe

-C:\Program Files\Carpe Diem <=== supprime tout le dossier s il est toujours présent

-C:\Program Files\Popup Eclair <=== supprime tout le dossier s il est encore présent

-C:\WINDOWS\System32\maxspeed.exe

 

7/ Lance et éxécute EasyCleaner : Nettoyage des fichiers inutiles et de la base de registre. Ne pas utiliser la fonction doublons

 

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

As tu toujours des dysfonctionnements? Si tout va bien on pourra également fixer d autres lignes superflues. Mais avant je préfere enlever les vilaines bebetes

Modifié le 7 septembre 2005 par Jack_Burton

[BipBip07]

Salut a vous 2,

Juste une remarque concerant:

O4 - HKCU\..\Run: [popupeclair] C:\Program Files\Popup Eclair\popupeclair.exe

qui pour moi n'as rien de enfaste ?

simplement un logiciel antipopup...Donc je ne ferais pas fixer cette ligne ni supprimer le programme

A+

[Jack_Burton]

Salut a vous 2,

Juste une remarque concerant:

O4 - HKCU\..\Run: [popupeclair] C:\Program Files\Popup Eclair\popupeclair.exe

qui pour moi n'as rien de enfaste ?

simplement un logiciel antipopup...Donc je ne ferais pas fixer cette ligne ni supprimer le programme 

A+

567305[/snapback]

Bonjour BipBip

 

Effectivement, mais j avais envisagé de lui faire changer de navigateur (s il utilise Internet Explorer) a la fin donc son antipopup ne lui sera plus d aucune utilité puisque tous les "vrais" navigateurs bloquent les popups et ainsi cela lui fera un processus en moins en mémoire.

 

Manolo pour le logiciel "popupeclair" tu fais comme tu veux mais si tu utilises un autre navigateur a la place de Internet Explorer, celui ci ne te servira a rien.

Modifié le 7 septembre 2005 par Jack_Burton

[BipBip07]

Ok Jack_Burton personnellement je m'en doutais vu le nombre d'adepte de Firefox ,mais il aurait bien de le préciser dés le début car sinon l'on pourait douter de ton analyse analyse et peut etre qu'il souhaite conserver IE pour certains site...(donc antipopup utile) enfin bref ce n'est que mon avis. Sinon, comme d'hab tu fait du bon travail

[Jack_Burton]

C'est vrai Bipbip, j aurais du lui dire des le début, mais a mes yeux a ce moment cela me semblait évidemment. Surtout qu il est libre d utiliser Internet Explorer mais j ai fais ca pour son bien et le bien de l Humanité

 

Sinon, comme d'hab tu fait du bon travail

merci BipBip Modifié le 7 septembre 2005 par Jack_Burton