les exe(s) qui ne demarrent plus !

[odSen]

Salut à tous,

J'ai une astuce sur mon site qui pourra peut-être t'aider.

Elle corrige les problèmes avec les .exe dus à un virus.

Essaie si tu veux : http://perso.wanadoo.fr/2501/securite-faci...ntivir.html#exe

[Thanos]

bloque quelques vxh8jkdq??.exe, enfin nettoye comme il faut je pense

 

Justement , spysherrif est surement encore là:

J'ai l'impression que spysherrif est toujours là...

essaie ceci pour voir:

 

télécharge l'utilitaire de S!Ri:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Tu le décompresses tu double cliques dessus et tu choisis l’option 1

 

Cela va générer un rapport,poste le. Redémarre en mode sans échec:

 

Relance le et choisis cette fois l’option 2 et réponds oui à tout

[Mascun84]

Justement , spysherrif est surement encore là:

580260[/snapback]

 

Voici le rapport avec l'option 1, effectivement il trouve qcq trucs ( kernel32 je l'ai poutant viré quelques fois!)

 

"SmitFraudFix v1.85

 

Rapport fait à 22:13:02.43 le 28/09/2005

Executé à partir de C:\temp

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

C:\WINDOWS\system32\kernels32.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Perso\Application Data

 

C:\Documents and Settings\Perso\Application Data\Install.dat PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Perso\Bureau

 

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

 

HKLM\SOFTWARE\SHUDDERLTD non trouvé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

[Thanos]

Redémarre en mode sans échec:

 

relance le fix et choisit l option 2

 

Redémarre et communique le nouveau rapport avec un rapport Hijackthis(si possible)

Modifié le 28 septembre 2005 par charles ingals

[Mascun84]

Voici le rapport avec l'option 1, effectivement il trouve qcq trucs ( kernel32 je l'ai poutant viré quelques fois!)

 

"SmitFraudFix v1.85

 

Rapport fait à 22:13:02.43 le 28/09/2005

Executé à partir de C:\temp

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

C:\WINDOWS\system32\kernels32.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Perso\Application Data

 

C:\Documents and Settings\Perso\Application Data\Install.dat PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Perso\Bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

 

HKLM\SOFTWARE\SHUDDERLTD non trouvé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

580279[/snapback]

Et voilà le rapport option 2

 

SmitFraudFix v1.85

 

Rapport fait à 22:18:33.68 le 28/09/2005

Executé à partir de C:\temp

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\system32\kernels32.exe supprimé

C:\Documents and Settings\Perso\Application Data\Install.dat supprimé

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

 

j'ai rebooté encore un fois en sans echec et ....

 

c'est encore pareil !!

 

zut de zut !

[Thanos]

toujours pas moyen de poster un rapport hijack??? Te voilà déjà débarrassé de Smitfraud...

[megataupe]

Dur, dur ce blème. Voici ce que propose la Tanière pour un problème d'exe corrompus :

 

*

 

Redémarrer l'ordinateur en mode sans échec (au démarrage du PC, appuyer sur la touche F8 - plusieurs fois si nécessaire afin d'obtenir le menu d'amorçage offrant les options)

*

 

Dans une session Administrateur ou d'utilisateur avec droits d'administration, ouvrir les Propriétés du système (Windows+Pause) et, sous l'onglet Restauration du système, cocher la case Désactiver la Restauration du système sur tous les lecteurs.

*

 

Par Démarrer/Exécuter... (ou Windows+r), saisir command.com

*

 

A l'invite, saisir successivement les commandes suivantes, en appuyant sur Entrée entre chacune

 

cd\

cd \windows (taper un espace entre cd et \)

copy regedit.exe regedit.com

start regedit.com

*

 

Dans l'Editeur de Registre qui s'ouvre après avoir appuyé sur Entrée à la suite de la dernière commande, naviguer jusqu'à la clé HKEY_CLASSES_ROOT\exefile\shell\open\command

*

 

Dans le volet droit, double-cliquer sur la valeur (par défaut)

*

 

Supprimer la mention figurant dans la zone Données de la valeur et saisir à la place le paramètre "%1" %* (syntaxe: guillemet - pourcent - chiffre 1 - guillemet - espace - pourcent - astérisque)

*

 

Quitter l'éditeur et réactiver la Restauration du système

*

 

Redémarrer l'ordinateur en mode normal. Tout devrait être rentré dans l'ordre

 

Note: Une fois la procédure terminée, vérifier immédiatement le système avec un anti-virus mis à jour pour éradiquer l'éventuel coupable.

 

Source : http://www.d2i.ch/pn/az/e.html

[Mascun84]

toujours pas moyen de poster un rapport hijack??? Te voilà déjà débarrassé de Smitfraud...

580299[/snapback]

 

Je t'envoi le dernier hijackthis que j'ai peu faire cet aprés-midi, peu être y vera tu plus clair ?

 

dans tous les cas, merci

 

 

Logfile of HijackThis v1.99.1

Scan saved at 16:40:28, on 28/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HJT\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NTUserDispatcher] C:\Program Files\Net Control 2\ncscc.exe /NTUSER

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [showIcon_KingByte_USB Product Driver v1.20r034] "C:\Program Files\USB Product Driver v1.20r034\shwicon.exe" -t"KingByte\USB Product Driver v1.20r034"

O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\Quickset.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Program Files\Microsoft AntiSpyware\gcASCleaner.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\RunOnce: [CleanUp!] C:\Program Files\CleanUp!\Cleanup.exe /WindowsRestart

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Lancer l'utilitaire Olitec.lnk = ?

O4 - Global Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip.exe

O4 - Global Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe

O4 - Global Startup: Lotus SmartCenter.lnk = C:\lotus\smartctr\smartctr.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - (no file)

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - (no file)

O10 - Broken Internet access because of LSP provider 'nclsp.dll' missing

O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1126249312406

O17 - HKLM\System\CCS\Services\Tcpip\..\{0AE34D6B-9828-43F2-891F-8D228560B38D}: NameServer = 85.255.113.140,85.255.112.26

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D690D3C-B565-4F07-82E6-1E4A7FA70B7F}: NameServer = 85.255.113.140,85.255.112.26

O17 - HKLM\System\CCS\Services\Tcpip\..\{1F782A5E-83EB-4BF9-A867-DFC89F3AAB02}: NameServer = 85.255.113.140,85.255.112.26

O17 - HKLM\System\CS1\Services\Tcpip\..\{0AE34D6B-9828-43F2-891F-8D228560B38D}: NameServer = 85.255.113.140,85.255.112.26

O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll

O21 - SSODL: Adobe GoLive CS2 Français - {E8F766CB-9090-6258-9DB5-7E11732D4BF8} - c:\program files\adobe\adobe golive cs2\alpf32.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Net Control 2 Server (NetControl2Server) - VAP software - C:\Program Files\Net Control 2\NetServ.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

 

ps: un truc bizare, il me dit que je suis en SP1 alors que j'ai le smise à jour et que je suis en SP2 ,

[megataupe]

Il reste ça qui est très douteux :

 

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

 

voir ici :

 

http://www.sophos.fr/virusinfo/analyses/trojagentdi.html

[Mascun84]

Dur, dur ce blème. Voici ce que propose la Tanière pour un problème d'exe corrompus :

 

    *

 

      Redémarrer l'ordinateur en mode sans échec (au démarrage du PC, appuyer sur la touche F8 - plusieurs fois si nécessaire afin d'obtenir le menu d'amorçage offrant les options)

    *

 

      Dans une session Administrateur ou d'utilisateur avec droits d'administration, ouvrir les Propriétés du système (Windows+Pause) et, sous l'onglet Restauration du système, cocher la case Désactiver la Restauration du système sur tous les lecteurs.

    *

 

      Par Démarrer/Exécuter... (ou Windows+r), saisir command.com

    *

 

      A l'invite, saisir successivement les commandes suivantes, en appuyant sur Entrée entre chacune

 

      cd\

      cd \windows (taper un espace entre cd et \)

      copy regedit.exe regedit.com

      start regedit.com

    *

 

      Dans l'Editeur de Registre qui s'ouvre après avoir appuyé sur Entrée à la suite de la dernière commande, naviguer jusqu'à la clé HKEY_CLASSES_ROOT\exefile\shell\open\command

    *

 

      Dans le volet droit, double-cliquer sur la valeur (par défaut)

    *

 

      Supprimer la mention figurant dans la zone Données de la valeur  et saisir à la place le paramètre "%1" %* (syntaxe: guillemet - pourcent - chiffre 1 - guillemet - espace - pourcent - astérisque)

    *

 

      Quitter l'éditeur et réactiver la Restauration du système

    *

 

      Redémarrer l'ordinateur en mode normal. Tout devrait être rentré dans l'ordre

 

Note: Une fois la procédure terminée, vérifier immédiatement le système avec un anti-virus mis à jour pour éradiquer l'éventuel coupable.

 

Source : http://www.d2i.ch/pn/az/e.html

580304[/snapback]

 

Salut Megataupe,

 

Merci de l'aide, mais j'ai déjà les bonnes valeur dans ma base de registre au niveau de cette clef !

 

Il me faudra essayer autre chose