Je cherche mais c'est dure

[x-teri]

Bonjour,

Jai effectué des test avast, ewido et ad-aware.

 

mais j'ai toujours un souci: je n'arrive pas a afficher mon gestionnaire des tâches avec ctrl/atl/suppr.

voici mon rapport hijackthis.

 

j'ai essayé de fixer les lignes:

 

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\windat.exe (file missing)

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

 

Mais elle ne parte pas.

 

Merci pour les conseils.

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 00:41:39, on 22/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\devldr32.exe

C:\Documents and Settings\ludo\Mes documents\rapport de système\HijackThis.exe

 

O4 - HKLM\..\Run: [] IEXPLORE.exe

O4 - HKLM\..\RunServices: [] IEXPLORE.exe

O4 - HKCU\..\Run: [] IEXPLORE.exe

O4 - HKCU\..\RunServices: [] IEXPLORE.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\windat.exe (file missing)

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

Modifié le 2 mars 2006 par x-teri

[Gof]

Salut x-teri, c'est normal qu'elles ne partent pas ces O23. Elles correspondent à des services que tu peux trouver dans menu démarrer, exécuter, "services.msc". Là, tu peux les activer et désactiver, mais il faut faire attention à ce que tu fais. Tu as là un tuto de tesgaz sur les services : http://www.zebulon.fr/articles/services_1.php. Pour ton rapport, attend l'analyse d'un conseiller sécurité. Tu ne devrais pas fixer si tu n'es pas sur de toi sans leur demander leur avis.

[Thanos]

salut x-teri,Gof

 

Bien bizarre ton rapport Il faut en premier lieu que tu suives cette procédure car ton pc est infecté par W32/Tilebot-BA entre autres =>

 

http://forum.zebulon.fr/index.php?showtopic=83986

 

j'ai essayé de fixer les lignes:

 

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

Ces lignes correspondent aux services comme te l'as dit Gof, et ces deux la en particulier ne sont pas des malwares!!Ils sont légitimes!(même s'il ne sont pas utiles!)

Suis la procédure ,utilise Antivir comme indiqué (tu verras son efficacité!) puis désinstalle le (ou garde le et vire avast , c'est comme tu veux!) et effectue ce qui est indiqué: ensuite tu repostes un nouveau rapport

[x-teri]

Voici mon nouveau rapport:

 

Petit truc bizzar: je n'arrive pas a lancer la mise à jour de antivir. j'ai verifié la connexion internet ( Ok).c' est comme pour le gestionnaire des tâches, ça se lance et Up ça disparaît.

 

Logfile of HijackThis v1.99.1

Scan saved at 07:44:56, on 22/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\devldr32.exe

C:\WINDOWS\System32\msiexec.exe

C:\Documents and Settings\ludo\Mes documents\rapport de système\HijackThis.exe

 

O4 - HKLM\..\Run: [] IEXPLORE.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [] IEXPLORE.exe

O4 - HKCU\..\Run: [] IEXPLORE.exe

O4 - HKCU\..\RunServices: [] IEXPLORE.exe

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe

O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\windat.exe (file missing)

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

[x-teri]

Un peu d'info:

 

Antivir fais planter mon pc en mode normale. donc scan en mode sans échec puis supression.

 

aprés: impossible d'executer "regedit", je l'execute, il apparaît puis Up il se ferme.

 

voilà mon nouveau rapport aprés avoir réussi a faire un update antivir.

 

merci pour votre aide.

 

Logfile of HijackThis v1.99.1

Scan saved at 10:09:20, on 22/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\devldr32.exe

C:\Documents and Settings\ludo\Mes documents\rapport de système\HijackThis.exe

 

O4 - HKLM\..\Run: [] IEXPLORE.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [] IEXPLORE.exe

O4 - HKCU\..\Run: [] IEXPLORE.exe

O4 - HKCU\..\RunServices: [] IEXPLORE.exe

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)

O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\windat.exe (file missing)

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

[tornado]

Salut x-teri, charles

 

 

Ton système est infecté comme te l'a déjà dit Charles. On va procéder par étapes pour la désinfection:

Télécharge les logiciels suivants au préalable:

 

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

 

 

 

1/ Redémarre en mode sans échec

 

 

2/ Dans démarrer, "exécuter", tape "services.msc" (sans les guillemets)

- Recherche le service Windows Archiver (winarc)

- Double clique dessus puis dans "types de démarrage", sélectionne "désactivé

- Valide

- Répète la manip pour le service : MS Dns Service (WinNet)

 

Puis on va supprimer définitivement les services avec l'invite de commande:

 

- Dans "exécuter", tape cette fois ci "cmd" (sans les guillemets)

- Tape la commande présente dans l'espace code:

 

sc delete Windows Archiver

 

- Valide

- Refais la même chose avec

 

sc delete MS Dns Service

 

 

 

3/ Lance hijackthis, "do a system scan only", puis coche les lignes suivantes:

 

 

O4 - HKLM\..\Run: [] IEXPLORE.exe

 

O4 - HKLM\..\RunServices: [] IEXPLORE.exe

O4 - HKCU\..\Run: [] IEXPLORE.exe

O4 - HKCU\..\RunServices: [] IEXPLORE.exe

 

 

- Fais " fix checked "

 

 

 

4/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

- Supprime les fichiers suivants (en gras)

 

C:\WINDOWS\windat.exe

C:\WINDOWS\system32\wincntrl.exe

 

 

Puis recherche manuellement le fichier suivant:

 

- IEXPLORE.exe

 

---> Ce fichier est normalement présent dans C:\Windows ou C:\Windows\system32

Ne pas confondre avec C:\programfiles\internet explorer\Iexplore.exe qui lui est légitime

 

 

 

5/ Nettoie ensuite ton système avec JV16 Power tools et Easycleaner

 

Pour Easycleaner:

 

-Télécharge Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

Pour Jv16

 

- Applique ce tuto pour le nettoyage de la base de registre ----> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

6/ Redémarre en mode normal, puis poste un nouveau rapport hijackthis

 

 

 

Bonnne chance

Modifié le 22 février 2006 par tornado

[x-teri]

J'ai fais le sdifférentes manip.

 

et voici mon rapport.

juste: j'ai pas touché au entrée rouge dans jv16.

 

Logfile of HijackThis v1.99.1

Scan saved at 13:43:45, on 22/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\devldr32.exe

C:\Documents and Settings\ludo\Mes documents\rapport de système\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

 

merci de l'aide

[tornado]

Re x-teri,

 

Est ce que tu pourrais faire un scan hijackthis en mode normal, et poster le rapport?

 

Celui que tu viens de poster a été fait en mode sans échec...

 

Car je ne vois plus Antivir sur le rapport... (le mode sans échec ne fontionne qu'avec les processus essentiels, et ne garde pas la protection de l'av en temps réel au démarrage)

 

 

juste: j'ai pas touché au entrée rouge dans jv16.

 

Tu as bien fait, les entrées rouge sont à supprimer manuellement. (une par une)

Modifié le 22 février 2006 par tornado

[x-teri]

le voilà.

 

Logfile of HijackThis v1.99.1

Scan saved at 15:33:45, on 22/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\devldr32.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\carasexe\carasexe.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\ludo\Mes documents\rapport de système\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

[tornado]

Re x-teri,

 

Il reste encore quelque chose...

 

Est ce toi qui a installé ce programme : carasexe ?

 

Si ce n'est pas le cas:

 

- Désinstalle-le via "ajouter/supprimer des programmes"

 

- Supprime le dossier C:\program files\carasexe

 

- Vide la corbeille

 

- Nettoie ton registre avec Jv16 et Easycleaner

 

 

 

Sinon, beau travail , le rapport est propre

 

Fais cependant le scan en ligne de panda dans le doute (fonctionne uniquement sous IE) --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php

 

Puis poste le rapport du scan ainsi qu'un nouveau rapport hijackthis

 

 

A+

Modifié le 22 février 2006 par tornado