Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

Bonjour

 

Apres une bonne nuit de sommeil j ai les idées claires :P Je tenais d ailleurs a m excuser pour mes erreurs grossieres d hier. Cela n arrivera plus, c est pour cette raison que je ne ferais plus d analyses a partir de 22h00, la fatigue cumulée, le nombre de rapports effectués dans la journée me rendent beaucoup moins vigilant.

 

J analyse ton rapport donnie, réponse dans un petit moment

Modifié par Jack_Burton

Posté(e) (modifié)

Re,

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec. C'est essentiel pour supprimer certains fichiers

 

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Désinstalle le programme suivant Catcher Module via "panneau de configuration/suppression de programmes"

 

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O2 - BHO: (no name) - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - (no file)

O2 - BHO: Internet Explorer Web Content Catcher - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Program Files\DNS\Catcher.dll

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [system service69] C:\WINDOWS\etb\pokapoka69.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-58-12-0000133.exe

O4 - HKCU\..\Run: [DNS] C:\Program Files\Fichiers communs\mc-58-12-0000133.exe

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c32.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsIns....cab?refid=2117

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

6/ Supprime les fichiers et dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

 

-C:\Program Files\DNS<--- supprime tout le dossier

-C:\WINDOWS\etb<--- supprime tout le dossier

-C:\Program Files\Fichiers communs\Windows\<--supprime tout le dossier, ce n est pas un dossier légitime de windows, 2 trojans ont pris la place dedans mc-58-12-0000133.exe et services32.exe

-C:\Program Files\Fichiers communs\mc-58-12-0000133.exe<--supprime ce fichier

-C:\Program Files\Fichiers communs\services.exe<--- supprime le fichier

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Modifié par Jack_Burton
Posté(e) (modifié)

Bonjour Donnie

 

Pas de probleme, tu as tout le temps et NOUS zebuloniens avons tout notre temps pour t aider. Il y aura toujours quelqu un pour te guider.

Bonne journée Donnie

Modifié par Jack_Burton
Posté(e) (modifié)

Finalement j'ai eu un peu de temps ce soir pour faire les manips.

 

- j'ai pas trouvé de programme Catcher Module dans "ajout/suppression de programmes"

 

J'ai démarré en mode sans échec, fais un scan antivir complet, puis supprimé les entrées que Jack m'a donné.

 

J'ai ensuite utilisé le programme EasyCleaner, avec les 2 fonctions "inutiles" et "registres".

 

Enfin j'ai fait un log hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 01:50:40, on 01/01/2002

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\sstray.exe

C:\WINDOWS\System32\scvhost.exe

C:\WINDOWS\System32\winamp.exe

C:\dsonic.exe

C:\WINDOWS\System32\firewall.exe

C:\WINDOWS\etb\pokapoka69.exe

C:\Documents and Settings\donnie\bleh.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\tftp.exe

C:\WINDOWS\System32\netddesrv.exe

C:\WINDOWS\system32\grxiio.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\bleh.exe

C:\Documents and Settings\donnie\Bureau\HijackThis.exe

C:\Program Files\Mozilla Firefox\firefox.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe

O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe

O4 - HKLM\..\Run: [REGRUN] C:\dsonic.exe

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [system service69] C:\WINDOWS\etb\pokapoka69.exe

O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

Je remarque que pokapoka69.exe revient tout seul à chaque fois. Sinon au démarrage j'ai eu une fenêtre dos qui s'est lancé, et une fenêtre IE qui s'est lancée avec un site xxx.

 

A demain :P

Modifié par donnie
Posté(e) (modifié)

Tu es sur d avoir fait tout ce que j ai dit???

Moi je ne pense pas. Je ne t ai jamais demandé de faire un scan antivir.

Faut suivre la procédure comme elle était indiquée !!!

 

Maintenant tu as de nouveaux trojans qui n y étaient pas avant... :P

Modifié par Jack_Burton
Posté(e) (modifié)

Bon cette fois applique vraiment la procédure je te prie

 

1/ Redémarre en mode sans échec.

 

2/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe

O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe

O4 - HKLM\..\Run: [REGRUN] C:\dsonic.exe

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [system service69] C:\WINDOWS\etb\pokapoka69.exe

O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe

 

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

4/ Supprime les fichiers et dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

C:\WINDOWS\System32\scvhost.exe

C:\WINDOWS\System32\winamp.exe

C:\dsonic.exe

C:\WINDOWS\System32\firewall.exe

C:\WINDOWS\etb<--- supprime tout le dossier

C:\Documents and Settings\donnie\bleh.exe

C:\WINDOWS\system32\tftp.exe

C:\WINDOWS\System32\netddesrv.exe

C:\WINDOWS\system32\grxiio.exe

C:\WINDOWS\system32\bleh.exe

 

5/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

6/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Modifié par Jack_Burton
Posté(e) (modifié)

Bonsoir Jack, donnie,

 

As tu un firewall d'installé ?

 

car si on fait le nettoyage et que tu n'est pas protégé, bien ça ne sert à rien ! :P

Modifié par Diana
Posté(e)

Bonsoir Diana :P . Si ce n'était que le firewall, c'est déjà pas mal mais il y a le reste :P :

 

Logfile of HijackThis v1.99.1

Scan saved at 01:50:40, on 01/01/2002

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Posté(e)

Bonsoir Diana

 

Re coucou megataupe :P

 

C:\Program Files\Mozilla Firefox\firefox.exe

 

Y a Firefox c est déja ca :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...