[résolu]nettoyage

[angelique]

hello,merci de depanner un ami sur ce log hijack;je soupçonne qlqs lignes

 

Logfile of HijackThis v1.99.1

Scan saved at 05:15:34, on 22/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe

C:\Program Files\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\WINDOWS\system32\nvlujv.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

C:\hijack1.99\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SpyBHO Class - {84695FD5-A8A8-11D8-978E-005022E14DE2} - C:\WINDOWS\system32\fcsiucsm.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [nvlujv] nvlujv.exe---->à fixer???

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

 

merci,megataupe,ipl,jack,tesgaz........

 

Modifié le 22 octobre 2005 par angelique

[Jack_Burton]

Bonjour Angelique

 

Je regarde le rapport, réponse dans un instant!

 

O4 - HKLM\..\Run: [nvlujv] nvlujv.exe---->à fixer???

 

Y a de forte chance, ce fichier est inconnu au bataillon

 

 

Re bonjour a tous, re bonjour Angelique

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

 

O2 - BHO: SpyBHO Class - {84695FD5-A8A8-11D8-978E-005022E14DE2} - C:\WINDOWS\system32\fcsiucsm.dll

 

O4 - HKLM\..\Run: [nvlujv] nvlujv.exe

 

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

-C:\WINDOWS\system32\fcsiucsm.dll

 

- nvlujv.exe<---ce dernier fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!!

 

6/ Nettoyage dans la base de registre:

 

Démarrer -> Exécuter -> tape regedit et va successivement :

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[nvlujv] nvlujv.exe<--- supprime si présent

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Edit : nvlujv.exe<--- au départ j avais pensé a un fichier lié a Nvidia car bcp de fichiers Nvidia commencent par "nv" mais ton ami possede une carte ATI! De plus je possede une carte Nvidia et je n ai pas ce fichier!

Modifié le 22 octobre 2005 par Jack_Burton

[angelique]

 

bon,ce nvlujv.exe etait,je dit bien était le worm/eyeveg.g

je procede au reste du nettoyage^^,

merci jack

je considere ce post comme résolu

[angelique]

je remonte ce post juste pour ajouter,merci à antivir guard,car il a deny access à ce bon dieu de worm encore present en system volum information(restau du system),juste eu besoin de desactiver la restau,et de la reactiver afin d'y recreer un point de restauration.

Je remonte ce sujet car un autre post traitait de l'importance ou non de desactiver la resto system en cas d'infection,là j'aurais repondu oui

 

le volume C: est sain desormais,merci !!!!

[ipl_001]

Bonsoir angelique, Jack_Burton, bonsoir à tous,

 

angelique, pourrais-tu en dire plus, s'il te plaît ?

 

Je suis de ceux qui disent qu'un malware dans la zone de restauration d'XP ne peut pas faire de mal tant qu'on ne restaure pas ! Cette zone a des droits "System" et il ne faut surtout pas y toucher !!!

Je dis également qu'il ne faut pas désactiver le système de restauration quand on est infecté.

Par contre, il faut désactiver / réactiver après nettoyage complet.

 

Peux-tu être plus explicite ?

Je veux bien réviser mes "croyances" mais je voudrais comprendre.

[Invité tesgaz]

hello,

 

bah, pour moi la restauration système n'apporte rien en cas de panne, c'est toujours quand on en a besoin que ca ne fonctionne plus, c'est dommage,

 

c'est juste un point de vue personnel

 

la restauration système ne répare pas les erreurs Windows, ni les problèmes de boot, mais par contre, elle a l'avantage de garder les derniers virus dans les points de restauration

 

allez, encore un boooo troll en persperctive

Modifié le 24 octobre 2005 par tesgaz

[ipl_001]

Bonsoir tesgaz,

...

allez, encore un boooo troll en persperctive

Non, je ne crois pas ! du moins, je ne persisterai pas en cas d'"opposition".

Tu n'as pas tort en ce sens que je n'ai jamais eu à utiliser la restauration système :

- pour mon cas personnel, je n'ai jamais eu d'infection

- dans ma société, je n'ai jamais utilisé non plus !

Je considère un peu la Restauration comme "baisser les bras" : prendre les malwares à bras le corps est plus rigolo !

 

Je me dis tout de même que "en cas de pépin sérieux, mieux vaut des points de restauration avec quelques malwares que pas de possibilité de restauration du tout !" mais çà c'est d ela théorie... je n'ai jamais mis en pratique !

[Invité tesgaz]

Salut ipl,

 

bah, en dehors de la restauration système, il existe tout de même la réparation sans perte de donnée qui a la particularité de repartir sur une base saine (même s'il faut remettre le système à jour par la suite)

 

et puis la console de récupération qui est un outil très puissant

 

 

 

() 5 ou 6 fois, j'ai voulu tester la restauration système sur des pcs mal en point, jamais ça n'a fonctionné

Modifié le 24 octobre 2005 par tesgaz

[angelique]

Ipl>>>"Je dis également qu'il ne faut pas désactiver le système de restauration quand on est infecté.

Par contre, il faut désactiver / réactiver après nettoyage complet">>>>>>>>>>c'est bien ce que j'ai fait,avguard m'alertant toute les 5s que ce worm en system volum information voulait revenir,donc bloqué par plusieurs deny access,ce qui amene obligatoirement à supp la restauration system et à la reactiver.

Je ne pourrais dire si c'est mieux de ne pas avoir de restau system,de supp la restau en cas d'inffection,ou de garder la restauration pdt le nettoyage des saloperies;le principal est d'avoir un résultat final sans worm nul part

La resto system rassure certainement qlq novice,(son efficacité restant à prouver,souvent des echecs!!!),et pour rejoindre tesgaz,la console de recup est ,il est vrai,un outils à tout faire et puissant,on peut extraire de la galette d'xp tout fichier deffectueux et ainsi le remplacer(expand e:\i386\..... .ex_ ou dl_ c:\windows\system32\...... .exe ou .dll) ,effectuer un chkdsk,........................,enfin les lignes de commande maitrisées en console de recup rend obsolete la restau system à mon avis.

Point de débat sur ce sujet,chacun gardant son avis sur l'utilité ou non de la restau system