Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Perdue avec mon pc qui bug complètement...+ Rapport HisjackThis.Quelqu

Nanou16

Par Nanou16
dans Analyses et éradication malwares

 Partager

Messages recommandés

Nanou16 Member

Nanou16

Posté(e)
Posté(e) (modifié)

Tout d'abord bonjour à tous.

 

je suis tombée sur votre forum par hasard à la recherche d'infos concernant des disfonctionnements de mon pc.

Et comme je n'y connais strictement rien,je suis totalement perdue.

Depuis plusieurs jours,j'a eu droit au spyware spysheriff, que j'ai réussi à éliminer mais peut-être pas en profondeur et depuis j'ai constamment des messages errorsafe qui s'affichent.

 

Que faire?

 

Je vous remercie de votre aide, vraiment précieuse,je ne sais plus quoi faire.Formater?Mais comment?

Lancer un rapport Hijackthis?Comment?Je suis perdue...

 

Merci de m'aider.

 

Nanou

Modifié par Nanou16

Médicus 33 Godlike Member

Médicus 33

Posté(e)
Posté(e) (modifié)

Bonjour Nanou 16 .. et bienvenue !

 

Si tu penses que ton systéme est infecté tu appliques l'intégralité de cette procédure et tu postes le rapport HJT obtenu.

 

Ca peut paraitre compliqué mais ça ne l'est pas en la suivant pas à pas :P

 

Tu attends ensuite la réponse d'un conseiller en sécurité qui te dira quoi faire !

 

Bonne journée.

 

Imprime la procédure car tu n'auras pas accés au net en mode sans échec !

Modifié par Médicus 33
Nanou16 Member

Nanou16

Posté(e)
  • Auteur
Posté(e)

Bonjour Nanou 16 .. et bienvenue !

 

Si tu penses que ton systéme est infecté tu appliques l'intégralité de cette procédure et tu postes le rapport HJT obtenu.

 

Ca peut paraitre compliqué mais ça ne l'est pas en la suivant pas à pas :P

 

Tu attends ensuite la réponse d'un conseiller en sécurité qui te dira quoi faire !

 

Bonne journée.

 

Imprime la procédure car tu n'auras pas accés au net en mode sans échec !

Bonjour Medicus33 et merci pour cette aide précieuse...

Je vais jeter un oeil de ce pas.

 

En fait,ça vient de quoi ces messages "ERRORSAFE" ?

 

Encore MERCI :P

 

Nanou

Médicus 33 Godlike Member

Médicus 33

Posté(e)
Posté(e)

Bonjour Medicus33 et merci pour cette aide précieuse...

Je vais jeter un oeil de ce pas.

 

En fait,ça vient de quoi ces messages "ERRORSAFE" ?

 

Encore MERCI :P

 

Nanou

 

 

D'un truc assez "emmerd...." à enlever si j'en crois un post récent sur ce sujet.

Nanou16 Member

Nanou16

Posté(e)
  • Auteur
Posté(e)

:P:P:-P:-(

 

dur dur , j'y compreds rien...

 

J'ai ça:

 

Logfile of HijackThis v1.99.1

Scan saved at 15:45:40, on 14/01/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\F-Secure Anti-Virus\Common\FSMA32.EXE

C:\Program Files\F-Secure Anti-Virus\Common\FSMB32.EXE

C:\windows\Explorer.EXE

C:\windows\smss.exe

C:\windows\System32\ctfmon.exe

C:\Program Files\rsds\hrcs.exe

C:\Program Files\HisjackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cegetel.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {6C229678-29BD-1312-EFBB-5E30FAD1DEEA} - C:\WINDOWS\System32\qaxe.dll

O2 - BHO: (no name) - {6C229678-29BD-1312-EFBB-5E30FAD1DEEA} - C:\WINDOWS\System32\qaxe.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [Microsoft Windows Session Manager Subsystem] C:\windows\smss.exe

O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\windows\winlogon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe

O4 - HKCU\..\Run: [Eata] "C:\Program Files\rsds\hrcs.exe" -vt yazr

O4 - HKCU\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1135952885560

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1136903879528

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\windows\QU5EUkU\command.exe (file missing)

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - Unknown owner - C:\Program Files\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe (file missing)

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Anti-Virus\Common\FSMA32.EXE

 

 

Et maintenant,j'en fais quoi????

 

Pffff,je crois que le plus simple pour moi sera peut-être d'apprendre à formater.

 

C'est ça le rapport HisjackThis?

 

Merci

 

Nanou

Jack_Burton Godlike Member

Jack_Burton

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Rapport tres infecté!

 

Et maintenant,j'en fais quoi????

Rien, attends que je finisse la procédure de désinfection que tu devras appliquer!

 

Pffff,je crois que le plus simple pour moi sera peut-être d'apprendre à formater.

Non pas nécessaire! Le formatage n est a faire qu en dernier recours!

 

C'est ça le rapport HisjackThis?

Oui c est ca!

 

 

Il faudra envisager le changement de ton firewall! F-Secure Anti-Virus Firewall est une véritable bouse infame!

Lorsque ton systeme sera propre, je te ferais installer de "vrais" logiciels de sécurité, a la fois gratuits et EFFICACE!!

 

Je démarre une analyse de ton rapport, réponse dans un moment

Modifié par Jack_Burton
Nanou16 Member

Nanou16

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Rapport tres infecté!

Rien, attends que je finisse la procédure de désinfection que tu devras appliquer!

Non pas nécessaire! Le formatage n est a faire qu en dernier recours!

Oui c est ca!

Il faudra envisager le changement de ton firewall! F-Secure Anti-Virus Firewall est une véritable bouse infame!

Lorsque ton systeme sera propre, je te ferais installer de "vrais" logiciels de sécurité, a la fois gratuits et EFFICACE!!

 

Je démarre une analyse de ton rapport, réponse dans un moment

:P Merci,merci et merci.....

Ouf,je ne m'en sortais plus...je ne sais comment vous remercier pour votre aide fort précieuse.

 

J'attends avec impatience les prochaines directives.

 

Nanou

Jack_Burton Godlike Member

Jack_Burton

Posté(e)
Posté(e) (modifié)

Re bonjour a tous,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

*Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s):

 

-rsds

 

5/ Dans le menu Demarrer>Executer >tape: services.msc

 

Recherche le service avec cette orthographe exacte:

-Command Service (cmdService)

 

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cegetel.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

 

R3 - URLSearchHook: (no name) - {6C229678-29BD-1312-EFBB-5E30FAD1DEEA} - C:\WINDOWS\System32\qaxe.dll

 

O2 - BHO: (no name) - {6C229678-29BD-1312-EFBB-5E30FAD1DEEA} - C:\WINDOWS\System32\qaxe.dll

 

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [Microsoft Windows Session Manager Subsystem] C:\windows\smss.exe

O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\windows\winlogon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe

O4 - HKCU\..\Run: [Eata] "C:\Program Files\rsds\hrcs.exe" -vt yazr

 

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

 

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

 

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1135952885560

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1136903879528

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

 

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

 

O23 - Service: Command Service (cmdService) - Unknown owner - C:\windows\QU5EUkU\command.exe (file missing)<---cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

7/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-C:\Program Files\rsds<---supprime tout le dossier

-C:\windows\QU5EUkU<---supprime tout le dossier

 

-C:\windows\smss.exe

-C:\windows\winlogon.exe

-C:\WINDOWS\System32\qaxe.dll

 

8/ Recherche ce fichier SysTray.Exe en utilisant la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers"

Il porte bien le nom d un processus légitime! Cela dit, il existe un malware qui porte le meme nom! Le processus légitime se trouve dans le dossier C:\WINDOWS\System32! Si tu en trouves un ailleurs, et notamment dans le dossier C:\WINDOWS, supprime le!

 

9/ lancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

 

10/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

11/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido!

Modifié par Jack_Burton
Nanou16 Member

Nanou16

Posté(e)
  • Auteur
Posté(e)

Re bonjour a tous,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

*Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

3/ Vérifie d'avoir accès à tous les fichiers

4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s):

 

-rsds

 

5/ Dans le menu Demarrer>Executer >tape: services.msc

 

Recherche le service avec cette orthographe exacte:

-Command Service (cmdService)

 

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cegetel.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

 

R3 - URLSearchHook: (no name) - {6C229678-29BD-1312-EFBB-5E30FAD1DEEA} - C:\WINDOWS\System32\qaxe.dll

 

O2 - BHO: (no name) - {6C229678-29BD-1312-EFBB-5E30FAD1DEEA} - C:\WINDOWS\System32\qaxe.dll

 

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [Microsoft Windows Session Manager Subsystem] C:\windows\smss.exe

O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\windows\winlogon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe

O4 - HKCU\..\Run: [Eata] "C:\Program Files\rsds\hrcs.exe" -vt yazr

 

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

 

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

 

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1135952885560

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1136903879528

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

 

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

 

O23 - Service: Command Service (cmdService) - Unknown owner - C:\windows\QU5EUkU\command.exe (file missing)<---cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

7/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-C:\Program Files\rsds<---supprime tout le dossier

-C:\windows\QU5EUkU<---supprime tout le dossier

 

-C:\windows\smss.exe

-C:\windows\winlogon.exe

-C:\WINDOWS\System32\qaxe.dll

 

8/ Recherche ce fichier SysTray.Exe en utilisant la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers"

Il porte bien le nom d un processus légitime! Cela dit, il existe un malware qui porte le meme nom! Le processus légitime se trouve dans le dossier C:\WINDOWS\System32! Si tu en trouves un ailleurs, et notamment dans le dossier C:\WINDOWS, supprime le!

 

9/ lancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

 

10/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

11/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido!

 

Bonsoir,me revoici.

 

Alors,voilà le rapport Ewido:

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 18:47:16, 14/01/2006

+ Somme de contrôle: B7E90717

 

+ Résultats du scan:

 

C:\WINDOWS\SYSTEM32\DRIVERS\i386p.sys -> Trojan.Small : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\DRIVERS\erssdd.sys -> Trojan.Rootkit.Agent.af : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\msctl32.dll -> Trojan.Small : Nettoyer et sauvegarder

C:\WINDOWS\SYSTEM32\srpcsrv32.dll -> Downloader.Agent.rm : Nettoyer et sauvegarder

C:\WINDOWS\kl.exe -> Logger.Small.dg : Nettoyer et sauvegarder

C:\WINDOWS\tool2.exe -> Not-A-Virus.Hoax.Win32.Renos.al : Nettoyer et sauvegarder

C:\WINDOWS\loadadv728.exe -> Downloader.PassAlert.i : Nettoyer et sauvegarder

C:\WINDOWS\Downloaded Program Files\UERSV_0001_LPNetInstaller.exe -> Not-A-Virus.Downloader.Agent.d : Nettoyer et sauvegarder

C:\WINDOWS\smss.exe -> Logger.Sters.f : Nettoyer et sauvegarder

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll -> Logger.Small.dg : Nettoyer et sauvegarder

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Nettoyer et sauvegarder

C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe -> Logger.Small.dg : Nettoyer et sauvegarder

C:\Program Files\Network Monitor\netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a : Nettoyer et sauvegarder

C:\Program Files\Microsoft AntiSpyware\Quarantine\962CFE79-59B1-41C7-939E-AEA4E5\1A10EEC9-8E06-41A2-A19B-4386A4 -> Proxy.Procin.c : Nettoyer et sauvegarder

C:\Documents and Settings\ANDRE\Local Settings\Temp\temp.fr0AA1 -> Adware.CommAd : Nettoyer et sauvegarder

C:\Documents and Settings\ANDRE\Local Settings\Temp\temp.frD1FB -> Spyware.CommAd : Nettoyer et sauvegarder

C:\Recycled\Dc1\hrcs.exe -> Downloader.PurityScan.be : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

 

Et le nouveau log HisjackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 19:12:57, on 14/01/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\system32\svchost.exe

C:\windows\Explorer.EXE

C:\Program Files\HisjackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cegetel.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {6C229678-29BD-1312-EFBB-5E30FAD1DEEA} - C:\WINDOWS\System32\qaxe.dll

O2 - BHO: (no name) - {6C229678-29BD-1312-EFBB-5E30FAD1DEEA} - C:\WINDOWS\System32\qaxe.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe

O4 - HKCU\..\Run: [Eata] "C:\Program Files\rsds\hrcs.exe" -vt yazr

O4 - HKCU\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1135952885560

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1136903879528

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - Unknown owner - C:\Program Files\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe (file missing)

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Anti-Virus\Common\FSMA32.EXE

 

 

Alors,verdict?

 

Avec Easyceaner,il y a quelques fichiers qui n'ont pas voulu s'effacer.

 

Pffffff, l'informatique...c'est :-P:-(:P:P

 

Bonne soirée ... et encore merci pour cette grande aide.

 

Nanou

Jack_Burton Godlike Member

Jack_Burton

Posté(e)
Posté(e)

Re bonsoir,

 

Avec Easyceaner,il y a quelques fichiers qui n'ont pas voulu s'effacer.

C est normal! Tu ne pourras pas les supprimer, t en fais pas pour ca!

 

Tu n as pas du bien appliquer la procédure! Certaines lignes toujours présentes! Nous allons devoir reprendre!

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

2/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

3/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

 

R3 - URLSearchHook: (no name) - {6C229678-29BD-1312-EFBB-5E30FAD1DEEA} - C:\WINDOWS\System32\qaxe.dll

 

O2 - BHO: (no name) - {6C229678-29BD-1312-EFBB-5E30FAD1DEEA} - C:\WINDOWS\System32\qaxe.dll

 

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe

O4 - HKCU\..\Run: [Eata] "C:\Program Files\rsds\hrcs.exe" -vt yazr

 

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1135952885560

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1136903879528

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

 

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

4/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-C:\WINDOWS\System32\qaxe.dll

-C:\Program Files\rsds<---supprime tout le dossier

 

5/ Recherche ce fichier SysTray.Exe en utilisant la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers"

Il porte bien le nom d un processus légitime! Cela dit, il existe un malware qui porte le meme nom! Le processus légitime se trouve dans le dossier C:\WINDOWS\System32! Si tu en trouves un ailleurs, et notamment dans le dossier C:\WINDOWS, supprime le!

 

6/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

7/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...