infection winfixer

[x-teri]

Bonjour,

je viens d'avoir internet chez moi et je suis déjà infecté par winfixer. j'ai suis la procedure de déinfection et voici mon raport Hitjac:

 

Logfile of HijackThis v1.99.1

Scan saved at 11:56:05, on 22/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\devldr32.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\System32\hhs.pif

C:\Documents and Settings\ludo\Mes documents\Programme Instal2\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.search123forme.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search123forme.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.Fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.Fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\efcba.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Microsoft Update] winsys.exe

O4 - HKLM\..\Run:

 hhs.pif

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunServices: [Microsoft Update] winsys.exe

O4 - HKLM\..\RunServices: [html Help System] hhs.pif

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [html Help System] hhs.pif

O4 - HKCU\..\RunServices: [html Help System] hhs.pif

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O20 - Winlogon Notify: efcba - C:\WINDOWS\System32\efcba.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Windows Debugger - Unknown owner - C:\WINDOWS\sysnt.exe (file missing)

[Jack_Burton]

Bonjour et bienvenu sur le forum sécurité de zebulon

 

Tu es infecté par Vundo, il va falloir procéder en 2 étapes:

-désinfection de vundo

-nettoyage du reste du rapport!

 

Imprime ces instructions: une partie de la procédure se fait en mode sans échec.

 

Télécharge VundoFix.exe

http://www.atribune.org/downloads/VundoFix.exe

 

Un dossier VundoFix va être créé sur le bureau.

 

Après l'extraction des fichiers redémarre en mode sans échec en tapotatnt F8 au démarrage

 

En mode sans échec ouvre le dossier VundoFix et doubleclick sur KillVundo.bat

 

Tu seras averti d'une listes de forums susceptibles de t'aider ressemblant à ça:

 

VundoFix V2.1 by Atri

By pressing enter you agree that you are using this at your own risk

Please seek assistance at one of the following forums:

http://www.atribune.org/forums

http://www.247fixes.com/forums

http://www.geekstogo.com/forum

http://forums.net-integration.net

 

 

A ce moment appuie sur Entrée.

 

Ensuite tu verras:

 

Type in the filepath as instructed by the forum staff

 

 

Ensuite appuie sur Entrée, puis F6, puis valide à nouveau pour continuer avec le fix.

 

A ce moment entre exactement le chemin complet du fichier suivant:

 

C:\WINDOWS\System32\efcba.dll

 

Valide puis appuie sur F6, puis entrée pour continuer le fix.

 

Maintenant tu verras:

 

Please type in the second filepath as instructed by the forum staff

Then Press Enter, Then F6, Then Enter Again to continue with the fix.

 

 

A ce moment entre exactement:

 

C:\WINDOWS\System32\efcba.dll

 

Lance Hijackthis en gardant le fix ouvert.

 

Dans HijackThis, coche les entrées suivantes et clique sur FIX CHECKED:

O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\efcba.dll

 

O20 - Winlogon Notify: efcba - C:\WINDOWS\System32\efcba.dll

 

Après avoir fixé ces items items, ferme Hijackthis et appuie sur une touche pour que l'ordinateur redémarre.

 

En appuyant sur une touche provoque le "Blue Screen of Death" c'est normal, ne t'en fais pas!

 

Après le redémarrage, suis les instructions ci-dessous.

 

Fais un scan ligne ici:

http://www.pandasoftware.com/products/activescan.htm

 

Copie les résultats du scan avec un nouveau rapport HijackThis.

Modifié le 22 octobre 2005 par Jack_Burton

[x-teri]

Merci de ton accueil.

voici les resulta apres les manip.

j'ai pas bien reussi le killvudo je crois.

 

Logfile of HijackThis v1.99.1

Scan saved at 15:32:26, on 22/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\rgxi.pif

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\hhs.pif

C:\WINDOWS\System32\devldr32.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\ludo\Mes documents\Programme Instal2\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.search123forme.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search123forme.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.Fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.Fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\efcba.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Microsoft Update] winsys.exe

O4 - HKLM\..\Run:

 hhs.pif

O4 - HKLM\..\Run: [Microsoft Intrenet Explorer] rgxi.pif

O4 - HKLM\..\RunServices: [Microsoft Update] winsys.exe

O4 - HKLM\..\RunServices: [html Help System] hhs.pif

O4 - HKLM\..\RunServices: [Microsoft Intrenet Explorer] rgxi.pif

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [html Help System] hhs.pif

O4 - HKCU\..\RunServices: [html Help System] hhs.pif

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O20 - Winlogon Notify: efcba - C:\WINDOWS\System32\efcba.dll (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Windows Debugger - Unknown owner - C:\WINDOWS\sysnt.exe (file missing)

 

 

Incident Status Location

 

Spyware:spyware/virtumonde Reported Windows Registry

Spyware:Cookie/RealMedia Reported C:\Documents and Settings\ludo\Cookies\ludo@realmedia[1].txt

Spyware:Cookie/Reliablestats Reported C:\Documents and Settings\ludo\Cookies\[email protected][1].txt

Spyware:Cookie/Weborama Reported C:\Documents and Settings\ludo\Cookies\ludo@weborama[2].txt

Spyware:Cookie/Xiti Reported C:\Documents and Settings\ludo\Cookies\ludo@xiti[1].txt

Spyware:Cookie/RealMedia Reported C:\Documents and Settings\ludo\Cookies\ludo@realmedia[1].txt

Spyware:Cookie/Reliablestats Reported C:\Documents and Settings\ludo\Cookies\[email protected][1].txt

Spyware:Cookie/Weborama Reported C:\Documents and Settings\ludo\Cookies\ludo@weborama[2].txt

Spyware:Cookie/Xiti Reported C:\Documents and Settings\ludo\Cookies\ludo@xiti[1].txt

Virus:W32/Sdbot.ftp Reported C:\WINDOWS\system32\i

Virus:W32/Gaobot.KNF.worm Reported C:\WINDOWS\system32\ming.pif

Virus:W32/Gaobot.KNF.worm Reported C:\WINDOWS\system32\rgxi.pif

Spyware:Cookie/Reliablestats Reported F:\ludo\Cookies\[email protected][2].txt

Spyware:Cookie/Xiti Reported F:\ludo\Cookies\ludo@xiti[1].txt

 

 

Bonjour et bienvenu sur le forum sécurité de zebulon

 

Tu es infecté par Vundo, il va falloir procéder en 2 étapes:

-désinfection de vundo

-nettoyage du reste du rapport!

 

Imprime ces instructions: une partie de la procédure se fait en mode sans échec.

 

Télécharge VundoFix.exe

http://www.atribune.org/downloads/VundoFix.exe

 

Un dossier VundoFix va être créé sur le bureau.

 

Après l'extraction des fichiers redémarre en mode sans échec en tapotatnt F8 au démarrage

 

En mode sans échec ouvre le dossier VundoFix et doubleclick sur KillVundo.bat

 

Tu seras averti d'une listes de forums susceptibles de t'aider ressemblant à ça:

A ce moment appuie sur Entrée.

 

Ensuite tu verras:

Ensuite appuie sur Entrée, puis F6, puis valide à nouveau pour continuer avec le fix.

 

A ce moment entre exactement le chemin complet du fichier suivant:

 

C:\WINDOWS\System32\efcba.dll

 

Valide puis appuie sur F6, puis entrée pour continuer le fix.

 

Maintenant tu verras:

A ce moment entre exactement:

 

C:\WINDOWS\System32\efcba.dll

 

Lance Hijackthis en gardant le fix ouvert.

 

Dans HijackThis, coche les entrées suivantes et clique sur FIX CHECKED:

O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\efcba.dll

 

O20 - Winlogon Notify: efcba - C:\WINDOWS\System32\efcba.dll

 

Après avoir fixé ces items items, ferme Hijackthis et appuie sur une touche pour que l'ordinateur redémarre.

 

En appuyant sur une touche provoque le "Blue Screen of Death" c'est normal, ne t'en fais pas!

 

Après le redémarrage, suis les instructions ci-dessous.

 

Fais un scan ligne ici:

http://www.pandasoftware.com/products/activescan.htm

 

Copie les résultats du scan avec un nouveau rapport HijackThis.

[Jack_Burton]

Re,

 

j'ai pas bien reussi le killvudo je crois.

Je confirme

 

Reprends la procédure je te prie! Suis bien les étapes, si tu as un probleme, n hésite pas a poser des questions!

[x-teri]

tu dit :

 

"Ensuite tu verras:

 

 

QUOTE

 

Type in the filepath as instructed by the forum staff

 

Ensuite appuie sur Entrée, puis F6, puis valide à nouveau pour continuer avec le fix.

 

A ce moment entre exactement le chemin complet du fichier suivant:

 

C:\WINDOWS\System32\efcba.dll"

 

 

Mais lorsque j'appuis sur entrée je passe direct à:

 

"QUOTE

 

Please type in the second filepath as instructed by the forum staff

Then Press Enter, Then F6, Then Enter Again to continue with the fix."

 

c'est normale?

 

 

Valide puis appuie sur F6, puis entrée pour continuer le fix.

Re,

Je confirme

 

Reprends la procédure je te prie! Suis bien les étapes, si tu as un probleme, n hésite pas a poser des questions!

[Jack_Burton]

arff, désolé, des phrases de la procédure n ont pas été affichées, j ai du buggé, je vais rectifier la procédure, désolé du désagrément

 

Re,

 

Imprime ces instructions: une partie de la procédure se fait en mode sans échec.

 

Télécharge VundoFix.exe

http://www.atribune.org/downloads/VundoFix.exe

 

Un dossier VundoFix va être créé sur le bureau.

 

Après l'extraction des fichiers redémarre en mode sans échec en tapotatnt F8 au démarrage

 

En mode sans échec ouvre le dossier VundoFix et doubleclick sur KillVundo.bat

 

Tu seras averti d'une listes de forums susceptibles de t'aider ressemblant à ça:

 

VundoFix V2.1 by Atri

By pressing enter you agree that you are using this at your own risk

Please seek assistance at one of the following forums:

http://www.atribune.org/forums

http://www.247fixes.com/forums

http://www.geekstogo.com/forum

http://forums.net-integration.net

 

 

- A ce moment appuie sur Entrée.

 

- Ensuite tu verras:

 

Type in the filepath as instructed by the forum staff

Then Press Enter, Then F6, Then Enter Again to continue with the fix

 

-A ce moment entre exactement le chemin complet des fichiers suivants:

C:\WINDOWS\System32\efcba.dll

 

 

Ensuite appuie sur Entrée, puis F6, puis valide à nouveau pour continuer avec le fix.

 

- Ensuite tu verras:

Please type in the second filepath as instructed by the forum staff

Then Press Enter, Then F6, Then Enter Again to continue with the fix.

 

 

-A ce moment entre exactement le chemin complet des fichiers suivants:

 

C:\WINDOWS\System32\efcba.dll

 

 

-Valide puis appuie sur F6, puis entrée pour continuer le fix.

-Lance Hijackthis en gardant le fix ouvert.

-Dans HijackThis, coche les entrées suivantes et clique sur FIX CHECKED:

 

O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\efcba.dll

 

O20 - Winlogon Notify: efcba - C:\WINDOWS\System32\efcba.dll

 

* Après avoir fixé ces items, ferme Hijackthis et appuie sur une touche pour que l'ordinateur redémarre.

* En appuyant sur une touche provoque "Blue Screen of Death" c'est normal, ne t'en fais pas!

 

Après le redémarrage, suis les instructions ci-dessous.

 

Fais un scan ligne ici:

http://www.pandasoftware.com/products/activescan.htm

 

Copie les résultats du scan avec un nouveau rapport HijackThis.

Modifié le 22 octobre 2005 par Jack_Burton

[x-teri]

Il y a un petit problème. il me dit qu'il ne trouve pas le fichier C:\WINDOWS\System32\efcba.dll

 

arff, désolé, des phrases de la procédure n ont pas été affichées, j ai du buggé, je vais rectifier la procédure, désolé du désagrément

 

Re,

 

Imprime ces instructions: une partie de la procédure se fait en mode sans échec.

 

Télécharge VundoFix.exe

http://www.atribune.org/downloads/VundoFix.exe

 

Un dossier VundoFix va être créé sur le bureau.

 

Après l'extraction des fichiers redémarre en mode sans échec en tapotatnt F8 au démarrage

 

En mode sans échec ouvre le dossier VundoFix et doubleclick sur KillVundo.bat

 

Tu seras averti d'une listes de forums susceptibles de t'aider ressemblant à ça:

- A ce moment appuie sur Entrée.

 

- Ensuite tu verras:

-A ce moment entre exactement le chemin complet des fichiers suivants:

C:\WINDOWS\System32\efcba.dll

Ensuite appuie sur Entrée, puis F6, puis valide à nouveau pour continuer avec le fix.

 

- Ensuite tu verras:

-A ce moment entre exactement le chemin complet des fichiers suivants:

 

C:\WINDOWS\System32\efcba.dll

-Valide puis appuie sur F6, puis entrée pour continuer le fix.

-Lance Hijackthis en gardant le fix ouvert.

-Dans HijackThis, coche les entrées suivantes et clique sur FIX CHECKED:

 

O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\efcba.dll

 

O20 - Winlogon Notify: efcba - C:\WINDOWS\System32\efcba.dll

 

* Après avoir fixé ces items, ferme Hijackthis et appuie sur une touche pour que l'ordinateur redémarre.

* En appuyant sur une touche provoque "Blue Screen of Death" c'est normal, ne t'en fais pas!

 

Après le redémarrage, suis les instructions ci-dessous.

 

Fais un scan ligne ici:

http://www.pandasoftware.com/products/activescan.htm

 

Copie les résultats du scan avec un nouveau rapport HijackThis.

[Jack_Burton]

Il est possible que ce fichier n y soit plus effectivement puisque dans ton dernier rapport on voit (file missing) (fichier manquant)

 

Bon je vais faire la suite de la procédure, j analyse ton rapport, réponse dans un moment!

 

Edit : évite de recopier a chaque fois la procédure stp, cela prend de la place et ce n est pas pratique pour relire la discussion!

Merci de ta compréhension

Modifié le 22 octobre 2005 par Jack_Burton

[Jack_Burton]

Re,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Dans le menu Demarrer>Executer >tape: Services.msc

 

Recherche les services avec cette orthographe exacte:

-Windows Debugger

-Hardware Clock Driver (hwclock)

 

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.search123forme.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search123forme.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.Fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.Fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

 

O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\efcba.dll (file missing)

 

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Microsoft Update] winsys.exe

O4 - HKLM\..\Run:

 hhs.pif

O4 - HKLM\..\Run: [Microsoft Intrenet Explorer] rgxi.pif

O4 - HKLM\..\RunServices: [Microsoft Update] winsys.exe

O4 - HKLM\..\RunServices: [html Help System] hhs.pif

O4 - HKLM\..\RunServices: [Microsoft Intrenet Explorer] rgxi.pif

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [html Help System] hhs.pif

O4 - HKCU\..\RunServices: [html Help System] hhs.pif

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

 

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

 

O20 - Winlogon Notify: efcba - C:\WINDOWS\System32\efcba.dll (file missing)

 

[b]O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

O23 - Service: Windows Debugger - Unknown owner - C:\WINDOWS\sysnt.exe (file missing)[/b]<--- il est possible que ces 2 lignes n apparaissent plus du fait que l on a stoppé les services en question!

 

[b]Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".[/b]

 

6/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

-C:\WINDOWS\System32\[b]efcba.dll[/b]

-C:\WINDOWS\System32\[b]hwclock.exe[/b]

-C:\WINDOWS\[b]sysnt.exe[/b]

 

-[b]winsys.exe[/b]

-[b]hhs.pif[/b]

-[b]rgxi.pif[/b]<---ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!!

 

7/ Nettoyage dans la base de registre:

 

Démarrer -> Exécuter -> tape [b]regedit[/b] et va successivement :

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[b][Microsoft Update] winsys.exe[/b]

[b][html Help System] hhs.pif[/b]

[b][Microsoft Intrenet Explorer] rgxi.pif[/b]

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

[b][Microsoft Update] winsys.exe[/b]

[b][html Help System] hhs.pif[/b]

[b][Microsoft Intrenet Explorer] rgxi.pif[/b]

 

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

[b][html Help System] hhs.pif[/b]

 

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

[b][html Help System] hhs.pif[/b]

 

[b]Ferme ensuite le registre.[/b]

 

8/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. [b]Ne touche pas à la fonction "doublons".[/b]

 

9/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

[color=#FF0000]Edit : as tu une carte son Creative?[/color]

Modifié le 22 octobre 2005 par Jack_Burton

[Mark]

Bonjour Jack_Burton, bonjour x-teri ;

 

Je me permets cette petite intervention, car je connais très bien VundoFix ;

 

La première manip de Jack a tué le fichier principal, donc VundoFix ne le trouve plus - normal. Il y a d'autres pestes dans ton log cependant, et Jack s'en occupe. Tu peux donc reprendre à partir du point #5 (en sans échec), et les lignes relatives à Vundo devraient disparaître. Bonne chance.

Modifié le 22 octobre 2005 par Qc001