Demande d'aide

[Sheang]

Bonjour,

J'ai suivi ligne à ligne la procédure de Pré-nettoyage préconisée.

Ci joint donc le rapport sous mode Sans échec.

 

Logfile of HijackThis v1.99.1

Scan saved at 10:17:02, on 29/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\explorer.exe

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {824AF3DB-3A48-36CE-69BF-62F3BF32369A} - C:\WINDOWS\system32\lsewa.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [DMEWATCH] C:\PROGRA~1\OrangeBs\Watch.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"

O4 - HKLM\..\Run: [scheduleTest] C:\Program Files\InterVideo\Smart Backup\Schedule.exe

O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\prcpao.exe reg_run

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Rwtt] "C:\Program Files\dmul\sata.exe" -vt yazr

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm

O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Surligner en Jaune - C:\WINDOWS\web\MarqueurFluoYellow.htm

O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html

O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -

O17 - HKLM\System\CCS\Services\Tcpip\..\{A579E2CC-1296-4CC7-8DAB-DC734512B802}: NameServer = 193.252.19.4,193.252.19.6

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = notes.alstom.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = notes.alstom.com

O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\ir02l5do1.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

Merci par avance pour votre aide.

Je suis prêt à suivre vos instructions.

Cordialement

[ipl_001]

Bonjour Sheang, bonjour à tou(te)s,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Tu donneras le bonjour à PK (ton Président)... mon ancien patron !

 

Peux-tu nous parler des dysfonctionnements, s'il te plaît ?

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

[Sheang]

Bonjour Sheang, bonjour à tou(te)s,

 

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Tu donneras le bonjour à PK (ton Président)... mon ancien patron !

 

Peux-tu nous parler des dysfonctionnements, s'il te plaît ?

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

Bonjour ipl, merci pour message de bienvenue.

Passes moi un message Privé sur ton ancien patron ?

Je suis actuellement perpétuellement perturbé par de Pop up quand je suis sur le Net avec des sites que je n'ai jamais demandé à consulter, les adresses se terminent en général par yyy quelque choses.

J'epère que ce n'est pas trop grave.

A +

[ipl_001]

Rebonjour Sheang, rebonjour à tou(te)s,

 

Au sujet de la ligne

C:\Program Files\dmul\sata.exe

Connais-tu ce programme sata.exe, s'il te plaît ?

 

 

 

-1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

-2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

 

 

-3- Redémarre l'ordinateur en mode sans échec.

 

-4- Démarrer / Exécuter / copie-colle chacune des lignes suivantes (une par une) en cliquant sur OK pour chacune.

Tu devrais recevoir un message disant que la DLL a bien été désinstallée.

regsvr32.exe /U ir02l5do1.dll

regsvr32.exe /U lsewa.dll

regsvr32.exe /U WRLogonNTF.dll

 

-5- Enlève l'option TeaTimer de SpyBot le temps du nettoyage du système (tu la remettras lorsque tout sera propre) !

 

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

 

-6- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

 

R3 - URLSearchHook: (no name) - {824AF3DB-3A48-36CE-69BF-62F3BF32369A} - C:\WINDOWS\system32\lsewa.dll

 

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

 

O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\prcpao.exe reg_run

 

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

 

O4 - HKCU\..\Run: [Rwtt] "C:\Program Files\dmul\sata.exe" -vt yazr

 

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -

 

O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\ir02l5do1.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

-7- Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

-8- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

--- C:\WINDOWS\system32\lsewa.dll

--- C:\WINDOWS\system32\prcpao.exe

--- WRLogonNTF.dll... il se peut qu'elle ne soit plus là (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

-9- Renomme l'application suivante si tu ne la connais pas !

Je te la fais renommer car elle m'est inconnue et je ne veux pas la perdre, juste la rendre inactive (pour le moment) :

--- renomme C:\Program Files\dmul en C:\Program Files\dmul-inconnu

Si tout est bon dans 2 jours, tu désinstalleras par Ajout-Suppression de programmes

Si tu as des dysfonctionnements, remets le nom initial (et ajoute le raccourci dans le dossier Démarrage).

 

-10- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

 

Qu'en est-il de dysfonctionnements éventuels ?

 

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

[Sheang]

Au sujet de la ligne

C:\Program Files\dmul\sata.exe

Connais-tu ce programme sata.exe, s'il te plaît ?

Non je connais ce programme.

Que me conseilles tu de faire ?

Qu'en est-il de dysfonctionnements éventuels ?

Je suis actuellement perpétuellement perturbé par de Pop up quand je suis sur le Net avec des sites que je n'ai jamais demandé à consulter, les adresses se terminent en général par yyy102 quelque choses.

 

J'attends tes instructions complémentaires avant de passer en mode sans echec.

[lomaster]

Bonjour tous le monde, Sheang, voici ce que ipl_001 te demande de faire pour le dossier que tu ne connais pas.

 

-9- Renomme l'application suivante si tu ne la connais pas !

Je te la fais renommer car elle m'est inconnue et je ne veux pas la perdre, juste la rendre inactive (pour le moment) :

--- renomme C:\Program Files\dmul en C:\Program Files\dmul-inconnu

Si tout est bon dans 2 jours, tu désinstalleras par Ajout-Suppression de programmes

Si tu as des dysfonctionnements, remets le nom initial (et ajoute le raccourci dans le dossier Démarrage).

[Sheang]

Bonjour tous le monde, Sheang, voici ce que ipl_001 te demande de faire pour le dossier que tu ne connais pas.

OK, Compris.

Merci pour ton aide.

 

Donc, suite aux manips demandées, ci après le nouveau rapport de Hijack en mode normal.

 

Mais d'ore et déjà, les Pop Up avec des site yyy102 continuent de plus belle.

D'autre part, j'avais viré 'Proprement Norton" par désinstallation système mais je vois qu'il y a encore un truc de Symantec dans le rapport ci après.

 

Logfile of HijackThis v1.99.1

Scan saved at 13:36:25, on 29/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\cisvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\UPHClean\uphclean.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\pctspk.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [DMEWATCH] C:\PROGRA~1\OrangeBs\Watch.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [WINCINEMAMGR] "C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm

O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Surligner en Jaune - C:\WINDOWS\web\MarqueurFluoYellow.htm

O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html

O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{A579E2CC-1296-4CC7-8DAB-DC734512B802}: NameServer = 193.252.19.4,193.252.19.6

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = notes.alstom.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = notes.alstom.com

O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\lvnq0955e.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

Merci pour vos conseils.

A plus tard

[Jack_Burton]

Bonjour a tous, bonjour Sheang & ipl

 

Encore la présence de Look2Me sur ce rapport!

 

Voila ce que tu vas faire :

 

Télécharge SpySweeper (de Webroot) ICI (version d'essai - 14 jours):

• Clic sur le lien Free Trial sous la rubrique "SpySweeper".
  
• Installe le programme. Une fois installé, il se lancera.
  
• L'option de le mettre à jour s'affichera; clic Yes.
  
• Lorsque les mises à jour seront installées, clic Options sur la gauche.
  
• Clic sur l'onglet Sweep Options.
  
• Sous What to Sweep, coche les options suivantes:
  • 
    
  • Sweep Memory
    
  • Sweep Registry
    
  • Sweep Cookies
    
  • Sweep All User Accounts
    
  • Enable Direct Disk Sweeping
    
  • Sweep Contents of Compressed Files
    
  • Sweep for Rootkits
    
  • DÉCOCHE Do not Sweep System Restore Folder.
    

  [*]Clic Sweep Now sur la gauche.

  [*]Clic sur Start.

  [*]Quand le scan est terminé, clic sur Next.

  [*]Assure-toi que tous les items sont cochés, puis clic sur Next.

  [*]Tous les items cochés seront éliminés.

  [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.

  [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.

  [*]Clic sur l'onglet Summary, puis clic sur Finish.

  [*]Colle le contenu du "Session Log" dans ta prochaine réponse accompagné d un nouveau rapport hijackthis

[ipl_001]

Bonjour Sheang, lomaster, Jack_Burton, bonjour à tou(te)s,

 

Merci d'avoir pris la suite (je n'étais pas devant mon ordinateur) !

Oui, une vilaine ligne O20 !

[Sheang]

Bonjour Sheang, lomaster, Jack_Burton, bonjour à tou(te)s,

 

Merci d'avoir pris la suite (je n'étais pas devant mon ordinateur) !

Oui, une vilaine ligne O20 !

Auriez vous une autre solution que Spy Weep ? car apparemment, ils ont changé il n'y a plus de trial, il scanne mais il faut payer pour enlever les objets suspects.

Je suis pour le moment bloqué sur ce truc, installation de la version française, anglaise, rien n'y fait, j'ai fini par désinstaller.

A+