Probléme de base de données

[Bacj-up]

Bonjour tous les zebuloniens, et bien je vient d'ouvrir un fichier malencontreusement qui est mauvais, j'ai tous suprimmer ce qui me paraissait suspect. J'ai fait une analyse Ewido qui ne m'as suprrimer tous les virus+ une analyse ad-aware qui m'as supprimer tous les spywares. Je vient de me rendre conte que des clés se sont mis dans la bage de registre qui sont inféctée, je pense. Je ne peut plus acceder a la base de registre Regedit pour les suprimer et ni a cmd , a aucune commande qui me serait nécessaire pour suprimer ces clés.Je pense que ce blocage doit étre dut au virus et lorsque j'entre chaque commande il y a le messag d'erreur du genre "Regedit n'est pas une application Win32 valide".J'ai aussi supprimer tous ce qui ne servait a rien grace a EasyCleaner.J'ai aussi remarquer que lorsque je lancer Intyernet explorer ,ca ne lancer rien ca metttait une page avec comme adresse about:Blank.Je suis obliger d'utiliser Mozilla firefox pour vous communiquer en ce moment.Voici le log hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 23:48:50, on 17/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\Program Files\VIA\RAID\raid_tool.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Devilfox\Bureau\HijackThis.exe

 

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Startup: Registration Brothers In Arms.LNK = G:\Support\Register\RegistrationReminder.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{9AA5D791-9659-49B0-AA76-A7AE69340477}: NameServer = 80.118.192.112 80.118.196.42

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

Voila, je pense avoir tous dit donc si quelqu'un pourraitm'aidez s.v.p, ca serait gentil.

Encore merci et Vive le Forum Zebulon.

PS: En esperant que vous répondrez rapidement.

[Bacj-up]

Resalut c'est encore moi, je vient de voir le sujet qui se trouve un peu plus haut que le mien et j'ai vut qu'on lui avait repondut, je vien de m'apercevoir que j'avaos aussi un fichier qui se nommait services.exe et qui est en route en ce moment dans mon systeme 32, je vais suivre la solution au probbléme que les membres on posté et je vous informe.

Merci encore!

[regis56]

Bonsoir Bacj-up !

 

Attend dans système 32 il est légitime

[tornado]

Salut Bacj-up,

 

J'ai aussi remarquer que lorsque je lancer Intyernet explorer ,ca ne lancer rien ca metttait une page avec comme adresse about:Blank

 

C'est sûrement car tu as fixé une ligne R0 ou R1 correspondant à la page de démarrage d'IE (va dans "outils" --> " options internet" --> général , afin de modifier l'adresse de la page de démarrage)

 

Je suis obliger d'utiliser Mozilla firefox pour vous communiquer en ce moment.

 

 

Justement, c'est ce qu'il faut faire lors de ta navigation habituelle. Firefox est un navigateur sécurisé, ce qui n'est pas le cas de IE pour un grand nombre de raisons (failles non corrigées...)

 

 

 

Bon, sinon ton log hijackthis ne montre rien d'infectieux... veux-tu faire le scan en ligne de panda (installe l'activex, choisis un scan "disques locaux" et sauve le rapport du scan) ---> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php et poster le rapport du scan

 

 

 

A +

 

 

Edit:

 

Salut régis56,

 

 

Malheur! NE SUPPRIME en aucun cas C:\Windows\system32\services.exe ; Bacj-up, car comme l'a précisé régis, il est légitime et essentiel à la survie de ton système

Modifié le 17 mars 2006 par tornado

[tirol]

Bacj-up,

 

ce qui est valable pour un , n'est pas obligatoirement à prendre pour tous !

 

Où as-tu pris flashget ?

Il peut embarquer des malwares, entre autres cydoor.

Modifié le 17 mars 2006 par tirol

[Bacj-up]

D'accord merci de vos conseil, je vais faire le scan, IE marche mintenant c'était un erreur bête de ma aprt, je n'est pas réfléchit mais pour le lancement de regedit et de cmd impossible , ca me met toujours c'est n'est pas une aplication Win32 valide. Donc je n'arrive pas a résoudre ce probléme. Et encore désoler pour le IE. Merci de vos réponses rapides et l'analyse est en cours.

[Thanos]

salut Bacj-up

 

Ton rapport ne montre pas d'infections, pour ce qui est des modifications faites dans la base de registre,

essaie Zebrestore:

 

Télécharge zebrestore

met le dans un dossier.

 

Lance le programme et coche la case suivante:

 

* Regedit

 

Rend toi à l'adresse suivante: http://www.kellys-korner-xp.com/xp_tweaks.htm

Repère la ligne suivante: 228 panneau de droite.

Clique sur le lien Restore CMD.EXE , et télécharge le fichier cmd.zip.

Dézippe le fichier sur le bureau et double clique dessus.

 

Ensuite un scan en ligne =>

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

Dis nous si ton registre et la commande cmd sont débloqués!

 

ouf ,on a posté entre temps

[Bacj-up]

[J'ai télécharger flashget sur Télecharger.com pourquoi je devrait le suprimer?

[Thanos]

Tirol te dit ca parce que il est réputé pour intégrer des spywares!!

Je t'ai laissé un message pour cmd et le regitre plus haut

[Bacj-up]

Et bien j'ai télécharger ce que vous m'avez dit pour restaurer Regedit et cmd mais je n'arrive toujours pas a acceder a rgedit ni a cmd par Executer, cmd je peut par contre le lancer de l'icone que j'ai télecharger et dezipper? Pourquoi je ne peut plus lancer regedit et cmd de Executez?

 

L'analyse met un peu de temps a se faire mais elle se fait.