[résolu] spysheriff exe inlancables!

[Jack_Burton]

Bonjour,

 

Ton rapport est tres infecté!

Je démarre une analyse, réponse dans un moment!

[Jack_Burton]

Re bonjour,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

*Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

* Télécharge LPSfix et dézippe le sur le bureau. http://www.snapfiles.com/get/lspfix.html

 

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s):

 

-ICOO Loader

-NetTransport 2<--- pas vraiment infectueux mais ces logiciels peuvent porter des spywares! Je te conseille donc de le désinstaller

 

5/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.the-exit.com/search

 

O2 - BHO: ICOOExternal Class - {0519A9C9-064A-4cbc-BC47-D0EACD581477} - C:\Program Files\ICOO Loader\addons\icooue.dll

O2 - BHO: ICOODManager Class - {465A59EC-20E5-4fca-A38A-E5EC3C480218} - C:\Program Files\ICOO Loader\addons\icoou.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll

 

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScC:Inst.exe /SYNC

O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\msvcp.exe

O4 - HKLM\..\Run: [Microsoft tool] C:\WINDOWS\System32\mstool.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [superCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe

O4 - HKCU\..\Run: [qkfz] c:\stub_113_4_0_4_0.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

 

O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: >>> FREE PORN GALLERIES <<< - javascript:{document.location='http://sexmaxx.com/freegalleries.htm';}

O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html

 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

 

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

 

O20 - AppInit_DLLs: interceptor.dll

O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

6/ Supprime le(s) fichier(s) & dossiers incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-C:\Program Files\ICOO Loader<----supprime tout le dossier

-C:\Program Files\Xi\NetTransport 2<----supprime tout le dossier dans le cas ou tu as décidé de désinstaller ce logiciel (je te le conseille de le faire)

 

-C:\WINDOWS\System32\msvcp.exe

-C:\WINDOWS\System32\mstool.exe

-c:\stub_113_4_0_4_0.exe

-C:\WINDOWS\SYSTEM32\avpe32.dll

 

7/ Lances LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.

Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer.

Coche la case "I know what I'm doing" ("Je sais ce que je fais").

Sélectionne toutes les instances de la dll suivante : rlls.dll

 

et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove".

 

 

Clique sur le bouton "Finish".

 

8/ lancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

 

9/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

10/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido

Modifié le 2 janvier 2006 par Jack_Burton

[Tykkle]

lsp-fix me donne ca kan je le lance :

http://img327.imageshack.us/my.php?image=lspfix3ii.png

et je peut pas installer ewido, je fait kan meme le reste ?

[Jack_Burton]

Re,

 

lsp-fix me donne ca kan je le lance :

Oui et alors? C est normal!!

Tu fais passer rlls.dll de la colonne gauche a la droite comme c est indiqué sur la procédure!

 

et je peut pas installer ewido, je fait kan meme le reste ?

 

Hum hum! Etrange! Bon s il ne s installe pas, passe cette étape!

[Tykkle]

preske tout les install ne marchent pas ke se soit antivirus jeux ou autres choses inutiles

dans lsp-fix sur l image ke je t ai passer eh bien je peut pas cocher I know what i'm doing puiske je vois ni la case ni la phrase et les bouton ou c est gris sont transparent, je peut regarder une video a travers si je met la fenetre de lsp dessus donc je peut pas cliker dessus

 

au fait rlls.dll j ai essayer de le suppr en mode sans echec et en tapant la commmande regsvr32.exe -u C:\WINDOWS\system32\rlls.dll et j ai aussi un fichier rlls.dl_ dans system32

 

ah et je peut pas supprimer des programmes dans panneau de configuration je clik modifier/supprimer :

fleche souris ki devien sablier puis redevient une fleche

Modifié le 2 janvier 2006 par Tykkle

[Tykkle]

heu dans la partie 1 :

 

-easycleaneur marche

 

-l installation d ewido ne se lance pas en faite beaucoup de programme

quand je clike sur l icone la fleche de la souris deviens un sablier puis redevien une fleche et il se passe rien

 

-lsp-fix je peut le lancer mais les bouton sont transparent et j ai acces a aucune fonction

 

partie 4 :

 

-il se passe absolument rien quand je clique sur modifier/supprimer a coter de net trasnsport 2

 

maintenant quand je lance hijackthis.exe renommé en dd.com ca me met :

L'instruction à "0x660efdc2" emploie l'adresse mémoir "0xe9000000c". La mémoire ne peut pas être "read"

 

si je le remets en hijackthis.exe ben je clik dessus ben fleche->sablier->fleche

[Tykkle]

y a kelkun d autre ki avait des prob avec les exe comme moi et il a utiliser

http://perso.wanadoo.fr/doc.jm/bin/VirusBdRRepair.vbs

apparament ca a ete bon apres

 

*edit : mmmh ca pas vraiment marché ou alors il faut redémarrer

 

----------

la solution était dans ma reponse: copier regedit.exe en regedit.com puis lancer regedit.com (en tapant dans le menbu executer toutes les lettres de regedit.com)

le registre s'affiche exactement comme avec regedit.exe puisque c'est le meme programme.

Tu peux alors aller verifier et changer les paramètres attachés à l'extension ".exe"

@+

 

kelkun a poster ca mais je voi pas trop ce k il veut dire mais apparament il a pu relancer les .exe apres, k es ce k il fau faire ?j ai kan meme reussi a lancer regeditor

 

2nd edit:

yeah ewido et cclean marche apres avoir fait :

pour récuper les fonction EXE barre de tâches etc

http://www.symantec.com/avcenter/venc/data...istry.keys.html et là download de UnhookExe.inf

ou

Essayer ShellFix.reg de F-secure là

http://www.f-secure.com/download-purchase/tools.shtml

et ca :

http://perso.wanadoo.fr/doc.jm/bin/VirusBdRRepair.vbs

Modifié le 2 janvier 2006 par Tykkle

[Tykkle]

ca y est !!! tout est redevenu normal, je comencais a désespérer.

je sais pas trop ce ki a fait ca parmit tout ce ke j ai essayer mais pour ceux ayant le meme probleme

je vous conseille de chercher sur les autres post en tapant exe dans recherche ou un truc du genre ou d essayer de suivre ce ke j ai fait en lisant ma conversation avec balltrap34 que je remerci enormément

-> http://www.commentcamarche.net/forum/affich-2011727 <-

[Jack_Burton]

Bonjour,

 

Désolé de ne pas avoir été tres disponible! J ai un emploi du temps assez chargé et cela ne va pas aller en s améliorant! Je serais de moins en moins disponible pour le forum!

 

 

En tout cas, je suis ravi que ton probleme soit réglé!

Je salue au passage balltrap34

[balltrap34]

salut jack mes meilleurs voeux au passage