Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

bonsoir a tous j'envois ce message pour une demande d 'analyse pour un pc assez infecter: nombreux bug , impossible d'ouvrir le gestionnaire de tache , quelques problemes avec Lsass

 

Merci

 

voici le rapport :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 20:05:01, on 20/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - - (no file)

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Zango Search Assistant Helper - {56F1D444-11BF-4879-A12B-79CF0177F038} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: (no name) - {EA0D26BD-9029-431A-86E0-83152D67828A} - (no file)

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Display Control Panel] C:\DispCtrl-2000\vi_grm.exe

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [keybdll] startman.exe

O4 - HKLM\..\Run: [sYSTRAV] prgsys0984.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Microsoft messenger] msnger.exe

O4 - HKLM\..\Run: [Microsoft Conference] msconf.exe

O4 - HKLM\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe

O4 - HKLM\..\Run: [elitemedia] C:\WINDOWS\elitemediapop.exe

O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\pwriyk.exe reg_run

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [OneClick] "C:\Program Files\oneclick\oneclick.exe"

O4 - HKLM\..\Run: [{07-73-3E-EC-ZN}] C:\windows\system32\rqdsregj.exe FI002

O4 - HKLM\..\Run: [browserUpdateSched] C:\WINDOWS\System32\swinrsap.exe FI002

O4 - HKLM\..\Run: [Microsoft Configu] msconfigu.exe

O4 - HKLM\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKLM\..\RunServices: [Microsoft Conference] msconf.exe

O4 - HKLM\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKLM\..\RunServices: [Microsoft Configu] msconfigu.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [desktop] C:\WINDOWS\System32\idemlog.exe

O4 - HKCU\..\Run: [userSp1] mozilla-text.exe

O4 - HKCU\..\Run: [slamm] SetupExeDll.exe

O4 - HKCU\..\Run: [sYSTRAV] trycrt.exe

O4 - HKCU\..\Run: [Microsoft messenger] msnger.exe

O4 - HKCU\..\Run: [Microsoft Conference] msconf.exe

O4 - HKCU\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKCU\..\Run: [Microsoft Configu] msconfigu.exe

O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Microsoft Conference] msconf.exe

O4 - HKCU\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKCU\..\RunServices: [Microsoft Configu] msconfigu.exe

O4 - Startup: Zeno.lnk = C:\WINDOWS\system32\swinrsap.exe

O4 - Startup: Z_Start.lnk = C:\WINDOWS\system32\dwdsregt.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO

O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\System32\shdocvw.dll

O15 - Trusted Zone: *.elitemediagroup.net

O15 - Trusted Zone: http://click.getmirar.com (HKLM)

O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)

O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)

O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://videohd.m6.fr.ipercast.net/installer-hidden.cab

O16 - DPF: {4E7BD74F-2B8D-469E-D7EC-ED6DB68DFA7D} - http://www.xbarre.com/barre/xbarre.cab

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} (Mirar_Dummy_ATS1 Class) - http://awbeta.net-nucleus.com/FIX/WinATS.cab

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab

O16 - DPF: {9AC54695-69A4-46F1-BE10-10C74F9520D5} (elitectl.DemoCtl) - http://cabs.elitemediagroup.net/cabs/mediaview.cab

O16 - DPF: {CA356D79-679B-4B4C-8E49-5AF97014F4C1} - http://files-pl.starware.com/installs/4.0....tarware_323.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{744C6F5A-E269-442A-BD1F-C4763105E83E}: NameServer = 85.255.114.56,85.255.112.138

O17 - HKLM\System\CCS\Services\Tcpip\..\{869443FC-00EE-4214-90F0-66CAB7BDC2EC}: NameServer = 85.255.114.56,85.255.112.138

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Windows XP Advanced User Launcher - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)

Posté(e) (modifié)

Bonsoir,

 

Rapport tres infecté!!

Commençons par Wareout!

 

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{744C6F5A-E269-442A-BD1F-C4763105E83E}: NameServer = 85.255.114.56,85.255.112.138

O17 - HKLM\System\CCS\Services\Tcpip\..\{869443FC-00EE-4214-90F0-66CAB7BDC2EC}: NameServer = 85.255.114.56,85.255.112.138

 

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

 

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

 

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

Modifié par Jack_Burton
Posté(e)

voici un rapport plus recent après quelque manipulation mais je n'ai toujours pas reussis a lancer Fixwareout

 

:P

 

Logfile of HijackThis v1.99.1

Scan saved at 21:41:55, on 20/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Display Control Panel] C:\DispCtrl-2000\vi_grm.exe

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [keybdll] startman.exe

O4 - HKLM\..\Run: [sYSTRAV] prgsys0984.exe

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Microsoft messenger] msnger.exe

O4 - HKLM\..\Run: [Microsoft Conference] msconf.exe

O4 - HKLM\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe

O4 - HKLM\..\Run: [elitemedia] C:\WINDOWS\elitemediapop.exe

O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\pwriyk.exe reg_run

O4 - HKLM\..\Run: [OneClick] "C:\Program Files\oneclick\oneclick.exe"

O4 - HKLM\..\Run: [{07-73-3E-EC-ZN}] C:\windows\system32\rqdsregj.exe FI002

O4 - HKLM\..\Run: [browserUpdateSched] C:\WINDOWS\System32\swinrsap.exe FI002

O4 - HKLM\..\Run: [Microsoft Configu] msconfigu.exe

O4 - HKLM\..\RunServices: [Microsoft Conference] msconf.exe

O4 - HKLM\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKLM\..\RunServices: [Microsoft Configu] msconfigu.exe

O4 - HKLM\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [desktop] C:\WINDOWS\System32\idemlog.exe

O4 - HKCU\..\Run: [userSp1] mozilla-text.exe

O4 - HKCU\..\Run: [slamm] SetupExeDll.exe

O4 - HKCU\..\Run: [sYSTRAV] trycrt.exe

O4 - HKCU\..\Run: [Microsoft Conference] msconf.exe

O4 - HKCU\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKCU\..\Run: [Microsoft Configu] msconfigu.exe

O4 - HKCU\..\Run: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Microsoft Conference] msconf.exe

O4 - HKCU\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKCU\..\RunServices: [Microsoft Configu] msconfigu.exe

O4 - Startup: Zeno.lnk = C:\WINDOWS\system32\swinrsap.exe

O4 - Startup: Z_Start.lnk = C:\WINDOWS\system32\dwdsregt.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O15 - Trusted Zone: *.elitemediagroup.net

O15 - Trusted Zone: http://click.getmirar.com (HKLM)

O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)

O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/Bridge-c139.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DCF163AC-53CD-4E78-9C2A-762D4A46B86E}: NameServer = 195.238.2.21 195.238.2.22

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Windows XP Advanced User Launcher - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)

Posté(e)

Bon passons sur wareout! Nous le supprimerons plus tard! Nettoyons le reste du rapport tres infecté!

Je démarre une analyse, réponse dans un moment

Posté(e) (modifié)

Re bonjour,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ *Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

*Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

 

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Désinstalle via "panneau de configuration/ajout-suppression de programmes" le(s) logiciel(s) suivant(s) si présent(s):

-oneclick

-MediaGateway

 

5/ Dans le menu Demarrer>Executer >tape: services.msc

 

Recherche le service avec cette orthographe exacte:

-Windows XP Advanced User Launcher

 

Double clic dessus et clic sur [arreter] puis dans :

type de demarrage --> sélectionne désactivé.

 

6/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous (si présentes) :

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

 

F2 - REG:system.ini: UserInit=userinit.exe

 

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [keybdll] startman.exe

O4 - HKLM\..\Run: [sYSTRAV] prgsys0984.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Microsoft messenger] msnger.exe

O4 - HKLM\..\Run: [Microsoft Conference] msconf.exe

O4 - HKLM\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe

O4 - HKLM\..\Run: [elitemedia] C:\WINDOWS\elitemediapop.exe

O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\pwriyk.exe reg_run

O4 - HKLM\..\Run: [OneClick] "C:\Program Files\oneclick\oneclick.exe"

O4 - HKLM\..\Run: [{07-73-3E-EC-ZN}] C:\windows\system32\rqdsregj.exe FI002

O4 - HKLM\..\Run: [browserUpdateSched] C:\WINDOWS\System32\swinrsap.exe FI002

O4 - HKLM\..\Run: [Microsoft Configu] msconfigu.exe

O4 - HKLM\..\RunServices: [Microsoft Conference] msconf.exe

O4 - HKLM\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKLM\..\RunServices: [Microsoft Configu] msconfigu.exe

O4 - HKLM\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [desktop] C:\WINDOWS\System32\idemlog.exe

O4 - HKCU\..\Run: [userSp1] mozilla-text.exe

O4 - HKCU\..\Run: [slamm] SetupExeDll.exe

O4 - HKCU\..\Run: [sYSTRAV] trycrt.exe

O4 - HKCU\..\Run: [Microsoft Conference] msconf.exe

O4 - HKCU\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKCU\..\Run: [Microsoft Configu] msconfigu.exe

O4 - HKCU\..\Run: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Microsoft Conference] msconf.exe

O4 - HKCU\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe

O4 - HKCU\..\RunServices: [Microsoft Configu] msconfigu.exe

O4 - Startup: Zeno.lnk = C:\WINDOWS\system32\swinrsap.exe

O4 - Startup: Z_Start.lnk = C:\WINDOWS\system32\dwdsregt.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

 

O15 - Trusted Zone: *.elitemediagroup.net

O15 - Trusted Zone: http://click.getmirar.com (HKLM)

O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)

O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)

 

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/Bridge-c139.cab

 

 

O23 - Service: Windows XP Advanced User Launcher - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)<---cette ligne ne devrait plus apparaitre du fait que l on a stoppé le service en question

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

7/ Supprime le(s) fichier(s) et dossier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-C:\WINDOWS\winlogon.exe

-C:\WINDOWS\System32\Utility.exe

-C:\WINDOWS\elitemediapop.exe

-C:\WINDOWS\System32\pwriyk.exe

-C:\windows\system32\rqdsregj.exe

-C:\WINDOWS\System32\swinrsap.exe

-C:\WINDOWS\System32\idemlog.exe

-C:\WINDOWS\system32\swinrsap.exe

-C:\WINDOWS\system32\dwdsregt.exe

 

-C:\Program Files\MediaGateway<---supprime tout le dossier

-C:\Program Files\oneclick<---supprime tout le dossier

 

-startman.exe

-prgsys0984.exe

-msnger.exe

-msconf.exe

-IEEXPLORER.exe

-msconfigu.exe

-mozilla-text.exe

-SetupExeDll.exe

-trycrt.exe

ces derniers fichiers sont probablement placés dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour les débusquer !!!

 

8/ Nettoyage dans la base de registre:

 

Démarrer -> Exécuter -> tape regedit et va successivement :

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

[keybdll] startman.exe<---supprime si présent

[sYSTRAV] prgsys0984.exe<---supprime si présent

[Microsoft messenger] msnger.exe<---supprime si présent

[Microsoft Conference] msconf.exe<---supprime si présent

[Miscrosoft Windows Explorer] IEEXPLORER.exe<---supprime si présent

[Microsoft Configu] msconfigu.exe<---supprime si présent

 

 

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

 

[Microsoft Conference] msconf.exe<---supprime si présent

[Miscrosoft Windows Explorer] IEEXPLORER.exe<---supprime si présent

[Microsoft Configu] msconfigu.exe<---supprime si présent

[Microsoft messenger] msnger.exe<---supprime si présent

 

 

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

[userSp1] mozilla-text.exe<---supprime si présent

[slamm] SetupExeDll.exe<---supprime si présent

[sYSTRAV] trycrt.exe<---supprime si présent

[Microsoft Conference] msconf.exe<---supprime si présent

[Miscrosoft Windows Explorer] IEEXPLORER.exe<---supprime si présent

[Microsoft Configu] msconfigu.exe<---supprime si présent

[Microsoft messenger] msnger.exe<---supprime si présent

 

 

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

 

[Microsoft messenger] msnger.exe<---supprime si présent

[Microsoft Conference] msconf.exe<---supprime si présent

[Miscrosoft Windows Explorer] IEEXPLORER.exe<---supprime si présent

[Microsoft Configu] msconfigu.exe<---supprime si présent

 

Ferme ensuite le registre.

 

9/ lancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...)

 

10/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

11/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification accompagné du rapport généré par Ewido

 

Tu es tres infecté car tu n as aucun firewall! Installes en un maintenant! Tu en trouveras 3 gratuits & performants, avec des tutos pour les configurer dans "les consignes de sécurité" en bas pres de ma signature

Modifié par Jack_Burton

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...