Mozilla hijackthis RESOLU

[nyny34]

re gof tu sais je suis blonde alors il faut bien m'expliquer

Plus sérieusement pour hijackthis tu disais de laisser ouvert mais une fois coché je fais quoi.

 

Bon appetit si tu es à tab le ou si tu n'a pas encore mangé

 

Une question, tu dis qu'il faut taper en gras mais comment on met en gras? c'est pas comme dans word

 

:love:tu peux prendre du temesta

 

PS j'ai fait exactment comme expliquer

[nyny34]

re gof tu sais je suis blonde alors il faut bien m'expliquer

Plus sérieusement pour hijackthis tu disais de laisser ouvert mais une fois coché je fais quoi.

 

Bon appetit si tu es à tab le ou si tu n'a pas encore mangé

 

Une question, tu dis qu'il faut taper en gras mais comment on met en gras? c'est pas comme dans word

 

:love:tu peux prendre du temesta

 

PS j'ai fait exactment comme expliquer

 

 

j'avais oublié : pour le scan avec panda il faut internet explorer et j'utilise mozilla donc je peux pas

 

j'ai téléchargé la version d'antivir de tesgaz( c'est la 7 et moi j'avais la -) et j'ai paramètré comme il disait

[nyny34]

re

je viens de me promener sur le forum,

 

pour hijackthis il fallait faire "fix cheked" une fois cocher (j'avais pas compris) c'est ça?

 

pour jv6 j'ai lu qu'une personne avait eu le même problème, c'est parce qu'il y en a trop à supprimer d'un coup, il faut le faire petit à petit

 

je pense que c'est ça qui n'a pas marcher, tu en pense quoi?

[Gof]

Re,

 

Tu as de la chance, j'aime bien les blondes (merci pour le temesta, mais j'essaie d'arrêter )

pour hijackthis il fallait faire "fix cheked" une fois cocher (j'avais pas compris) c'est ça?

Oui

pour jv6 j'ai lu qu'une personne avait eu le même problème, c'est parce qu'il y en a trop à supprimer d'un coup, il faut le faire petit à petit

je pense que c'est ça qui n'a pas marcher, tu en pense quoi?

oui c'est très possible.

 

Tu ne m'as pas posté le rapport Panda, si tu es en train de faire le scan, attends la fin de celui-ci avant d'appliquer la procédure qui suit.

 

------------------------------------------------

Attends la validation d'un conseiller sécurité avant d'appliquer ce qui suit !

------------------------------------------------

 

Début de la procédure 2.

 

 

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.

 

 

1. Redémarrage en mode sans échec.

 

-Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapoter rapidement sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924

 

 

2. Affichage des fichiers et dossiers cachés.

 

Je te le remets pour t'assurer que l'affichage des fichiers et dossiers cachés est bien activé.

 

-Assure toi d'avoir l'accès aux fichiers et dossiers cachés.

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
   
2. Cocher le bouton radio : Afficher les fichiers et dossiers cachés
   
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
   
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
   
5. Cliquer Appliquer puis OK
   

 

 

3. Suppression des éléments infectieux.

 

Il est possible que tu ne trouves pas certains des éléments que je te demande de supprimer. Ne t'en inquiète pas, tu n'auras qu'à m'indiquer lesquels tu n'auras pas trouvés. Lorsque j'indique "de taper (en gras)", je veux dire tape ce qui est en gras, je ne te demande pas de le mettre en gras (LOL), on s'est mal compris.

 

- Dans Menu Démarrer, Exécuter : tape (en gras) : cmd puis [ENTREE]

Puis tape (en gras) ce qui suit :

 

sc stop STI Simulator [Valider]

sc delete STI Simulator [Valider]

 

sc stop Windows Update Service [Valider]

sc delete Windows Update Service [Valider]

 

-Ferme la fenêtre CMD. Tu me rapporteras les messages d'erreur s'il y en a.

 

- Fais une recherche pour chacun des fichiers suivants (en gras) et supprime les si tu les trouves. Il faudra m'indiquer lesquels tu n'auras pas trouvés. Il est probable qu'ils soient dans d:\windows ou d:\windows\system32. (Pour effectuer la recherche, va dans Menu Démarrer, Rechercher, Rechercher des fichiers et dossiers. Copie le nom du fichier dans 'une partie ou l'ensemble du nom du fichier, sélectionne Poste de travail dans "rechercher dans". Modifie les options avancées comme indiqué sur l'image ici).

winsystem.exe

MSASP32.exe

winaup.exe

phqghume.exe

navupdate64.exe

PAStiSvc.exe

pwnsvc.exe

 

-Dans Menu Démarrer, Panneau de configuration, Ajout / Suppression de programmes, désinstalle (Je n'ai pas l'impression que tu ais fait ceci sur la procédure précédente):

 

MyWebSearch Email Plugin

My Web Search Bar

 

Si tu ne les trouve pas, essaie avec My Web Search

 

- Dans Menu Démarrer, Exécuter : tape (en gras) : d:\Program files. Supprime le dossier :

 

mywebsearch si tu trouves

MyWebSearch Email Plugin si tu trouves

MyWebSearch si tu trouves

 

 

-Rends toi dans ces dossiers et vide le contenu. C'est à dire que tu dois supprimer tout ce qu'ils contiennent, mais ne supprime pas le dossier.

 

d:\TEMP

d:\WINDOWS\TEMP

d:\Documents And Settings\Session utilisateur\Local Settings\Temp

d:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

-Vide la corbeille.

 

 

4. Suppression (FIX) des lignes dans HijackThis.

 

Lance un scan HijackThis, clique sur Do a system scan only et coche les lignes ci-dessous (si présentes) :

 

O4 - HKLM\..\Run: [Windows_Protect] winsystem.exe

O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe

O4 - HKLM\..\Run: [WINDOWS SYSTEM] winaup.exe

O4 - HKLM\..\Run: [LOCAL INTERNET WEB DRIVERS FOR WIN32] phqghume.exe

O4 - HKLM\..\Run: [MS UniX] navupdate64.exe

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] D:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 D:\PROGRA~1\MYWEBS~1\bar\7.bin\MWSBAR.DLL,S

O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe

O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe

O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe

O4 - HKLM\..\RunServices: [GHBW1] D:\WINDOWS\TEMP\GHBW1.EXE

O4 - HKLM\..\RunServices: [CDUC2] D:\WINDOWS\TEMP\CDUC2.EXE

O4 - HKLM\..\RunServices: [CSSF3] D:\WINDOWS\TEMP\CSSF3.EXE

O4 - HKLM\..\RunServices: [iPXW4] D:\WINDOWS\TEMP\IPXW4.EXE

O4 - HKLM\..\RunServices: [WINDOWS SYSTEM] winaup.exe

O4 - HKLM\..\RunServices: [NIIJ0] D:\WINDOWS\TEMP\NIIJ0.EXE

O4 - HKLM\..\RunServices: [DHWD1] D:\WINDOWS\TEMP\DHWD1.EXE

O4 - HKLM\..\RunServices: [TBOR2] D:\WINDOWS\TEMP\TBOR2.EXE

O4 - HKLM\..\RunServices: [NNES3] D:\WINDOWS\TEMP\NNES3.EXE

O4 - HKLM\..\RunServices: [PRSL4] D:\WINDOWS\TEMP\PRSL4.EXE

O4 - HKLM\..\RunServices: [OHGE0] D:\WINDOWS\TEMP\OHGE0.EXE

O4 - HKLM\..\RunServices: [bXGT1] D:\WINDOWS\TEMP\BXGT1.EXE

O4 - HKLM\..\RunServices: [GFOL2] D:\WINDOWS\TEMP\GFOL2.EXE

O4 - HKLM\..\RunServices: [VVEV3] D:\WINDOWS\TEMP\VVEV3.EXE

O4 - HKLM\..\RunServices: [LPPJ4] D:\WINDOWS\TEMP\LPPJ4.EXE

O4 - HKLM\..\RunServices: [LOCAL INTERNET WEB DRIVERS FOR WIN32] phqghume.exe

O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] D:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...html?p=ZNfox000

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...e/bridge-c5.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1118508792677

O23 - Service: STI Simulator - Unknown owner - D:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: Windows Update Service - Unknown owner - D:\WINDOWS\pwnsvc.exe (file missing)

 

-Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked. C'est cela que tu as oublié de faire sur la procédure précédente !

 

 

5. Nettoyage du disque pour préparer et faciliter l'intervention d'EWIDO.

 

-Double-cliquer ATF-Cleaner.exe afin de lancer le programme :

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

-Exécute EasyCleaner (Utiliser le raccourci sur le bureau) :

Utilise les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find". Lorsque le scan est terminé, clique sur "Delete all".

 

-Exécute JV16 puis :

Mets le logiciel en français Preferences > Language > Français > OK.

Ensuite, Outils registre > menu Outils > nettoyeur de registre.

Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

Clique sur "Continuer" puis sur "Démarrer".

Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer".Tu peux supprimer toutes les entrées en vert.

 

 

6. Nettoyage complémentaire par EWIDO.

 

-Lance Ewido et clique sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

A la fin de l'analyse, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

 

7. Redémarrage en mode normal.

 

-Poste le rapport EWIDO et un nouveau Log HijackThis. Si tu as fait le scan Panda comme demandé, poste également le rapport.

Modifié le 16 avril 2006 par Gof

[nyny34]

Re,

 

Tu as de la chance, j'aime bien les blondes (merci pour le temesta, mais j'essaie d'arrêter )

Oui oui c''est très possible.

 

Tu ne m'as pas posté le rapport Panda, si tu es en train de faire le scan, attends la fin de celui-ci avant d'appliquer la procédure qui suit.

 

------------------------------------------------

Attends la validation d'un conseiller sécurité avant d'appliquer ce qui suit !

------------------------------------------------

Début de la procédure 2.

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.

1. Redémarrage en mode sans échec.

 

-Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

 

NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924

2. Affichage des fichiers et dossiers cachés.

 

Je te le remets pour t'assurer que l'affichage des fichiers et dossiers cachés est bien activé.

 

-Assure toi d'avoir l'accès aux fichiers et dossiers cachés.

3. Suppression des éléments infectieux.

 

Il est possible que tu ne trouves pas certains des éléments que je te demande de supprimer. Ne t'en inquiète pas, tu n'auras qu'à m'indiquer lesquels tu n'auras pas trouvés. Lorsque j'indique "de taper (en gras)", je veux dire tape ce qui est en gras, je ne te demande pas de le mettre en gras (LOL), on s'est mal compris.

 

- Dans Menu Démarrer, Exécuter : tape (en gras) : cmd puis [ENTREE]

Puis tape (en gras) ce qui suit :

 

sc stop STI Simulator [Valider]

sc delete STI Simulator [Valider]

 

sc stop Windows Update Service [Valider]

sc delete Windows Update Service [Valider]

 

-Ferme la fenêtre CMD. Tu me rapporteras les messages d'erreur s'il y en a.

 

- Fais une recherche pour chacun des fichiers suivants (en gras) et supprime les si tu les trouves. Il faudra m'indiquer lesquels tu n'auras pas trouvés. Il est probable qu'ils soient dans d:\windows ou d:\windows\system32. (Pour effectuer la recherche, va dans Menu Démarrer, Rechercher, Rechercher des fichiers et dossiers. Copie le nom du fichier dans 'une partie ou l'ensemble du nom du fichier, sélectionne Poste de travail dans "rechercher dans". Modifie les options avancées comme indiqué sur l'image ici).

winsystem.exe

MSASP32.exe

winaup.exe

phqghume.exe

navupdate64.exe

PAStiSvc.exe

pwnsvc.exe

 

-Dans Menu Démarrer, Panneau de configuration, Ajout / Suppression de programmes, désinstalle (Je n'ai pas l'impression que tu ais fait ceci sur la procédure précédente):

 

MyWebSearch Email Plugin

My Web Search Bar

 

-Rends toi dans ces dossiers et vide le contenu. C'est à dire que tu dois supprimer tout ce qu'ils contiennent, mais ne supprime pas le dossier.

 

d:\TEMP

d:\WINDOWS\TEMP

d:\Documents And Settings\Session utilisateur\Local Settings\Temp

d:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

-Vide la corbeille.

4. Suppression (FIX) des lignes dans HijackThis.

 

Lance un scan HijackThis, clique sur Do a system scan only et coche les lignes ci-dessous (si présentes) :

 

O4 - HKLM\..\Run: [Windows_Protect] winsystem.exe

O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe

O4 - HKLM\..\Run: [WINDOWS SYSTEM] winaup.exe

O4 - HKLM\..\Run: [LOCAL INTERNET WEB DRIVERS FOR WIN32] phqghume.exe

O4 - HKLM\..\Run: [MS UniX] navupdate64.exe

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] D:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 D:\PROGRA~1\MYWEBS~1\bar\7.bin\MWSBAR.DLL,S

O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe

O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe

O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe

O4 - HKLM\..\RunServices: [GHBW1] D:\WINDOWS\TEMP\GHBW1.EXE

O4 - HKLM\..\RunServices: [CDUC2] D:\WINDOWS\TEMP\CDUC2.EXE

O4 - HKLM\..\RunServices: [CSSF3] D:\WINDOWS\TEMP\CSSF3.EXE

O4 - HKLM\..\RunServices: [iPXW4] D:\WINDOWS\TEMP\IPXW4.EXE

O4 - HKLM\..\RunServices: [WINDOWS SYSTEM] winaup.exe

O4 - HKLM\..\RunServices: [NIIJ0] D:\WINDOWS\TEMP\NIIJ0.EXE

O4 - HKLM\..\RunServices: [DHWD1] D:\WINDOWS\TEMP\DHWD1.EXE

O4 - HKLM\..\RunServices: [TBOR2] D:\WINDOWS\TEMP\TBOR2.EXE

O4 - HKLM\..\RunServices: [NNES3] D:\WINDOWS\TEMP\NNES3.EXE

O4 - HKLM\..\RunServices: [PRSL4] D:\WINDOWS\TEMP\PRSL4.EXE

O4 - HKLM\..\RunServices: [OHGE0] D:\WINDOWS\TEMP\OHGE0.EXE

O4 - HKLM\..\RunServices: [bXGT1] D:\WINDOWS\TEMP\BXGT1.EXE

O4 - HKLM\..\RunServices: [GFOL2] D:\WINDOWS\TEMP\GFOL2.EXE

O4 - HKLM\..\RunServices: [VVEV3] D:\WINDOWS\TEMP\VVEV3.EXE

O4 - HKLM\..\RunServices: [LPPJ4] D:\WINDOWS\TEMP\LPPJ4.EXE

O4 - HKLM\..\RunServices: [LOCAL INTERNET WEB DRIVERS FOR WIN32] phqghume.exe

O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] D:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...html?p=ZNfox000

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...e/bridge-c5.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1118508792677

O23 - Service: STI Simulator - Unknown owner - D:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: Windows Update Service - Unknown owner - D:\WINDOWS\pwnsvc.exe (file missing)

 

-Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked. C'est cela que tu as oublié de faire sur la procédure précédente !

5. Nettoyage du disque pour préparer et faciliter l'intervention d'EWIDO.

 

-Double-cliquer ATF-Cleaner.exe afin de lancer le programme :

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

-Exécute EasyCleaner (Utiliser le raccourci sur le bureau) :

Utilise les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find". Lorsque le scan est terminé, clique sur "Delete all".

 

-Exécute JV16 puis :

Mets le logiciel en français Preferences > Language > Français > OK.

Ensuite, Outils registre > menu Outils > nettoyeur de registre.

Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

Clique sur "Continuer" puis sur "Démarrer".

Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer".Tu peux supprimer toutes les entrées en vert.

6. Nettoyage complémentaire par EWIDO.

 

-Lance Ewido et clique sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

A la fin de l'analyse, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

7. Redémarrage en mode normal.

 

-Poste le rapport EWIDO et un nouveau Log HijackThis. Si tu as fait le scan Panda comme demandé, poste également le rapport.

 

 

dans la procédure précedente dans ajout/ suppression je n'avais pas :

MyWebSearch Email Plugin

My Web Search Bar

donc j'ai pas pu supprimer

 

Tu as beaucoup de patience merci pour panda je l'ai pas fait car c'est pour internet

[Gof]

Re, ok, j'ai édité la procédure en conséquence. Attends la validation d'un conseiller avant d'appliquer, n'oublie pas !

 

Oui Panda est un scan en ligne, mais il scanne ton PC ( ), je t'ai peut-être mal compris. Ce n'est pas grave on verra plus tard.

[chercheur]

Bonjour

 

La procédure est OK

 

Effectivement, il n'y a probablement pas

MyWebSearch Email Plugin

My Web Search Bar

mais uniquement MyWebSearch

 

Pour le scan en ligne, il faut Internet Explorer car il faut accepter les ActiveX.

Sinon tu peux faire le scan en ligne sur TrendMicro

http://fr.trendmicro-europe.com/consumer/p...call_launch.php

C'est le seul qui n'en a pas besoin.

[Gof]

Merci Chercheur

 

donc la procédure est validée, tu peux l'appliquer Nyny34

 

Début de la procédure 2.

 

 

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.

 

 

1. Redémarrage en mode sans échec.

 

-Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapoter rapidement sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924

 

 

2. Affichage des fichiers et dossiers cachés.

 

Je te le remets pour t'assurer que l'affichage des fichiers et dossiers cachés est bien activé.

 

-Assure toi d'avoir l'accès aux fichiers et dossiers cachés.

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
   
2. Cocher le bouton radio : Afficher les fichiers et dossiers cachés
   
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
   
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
   
5. Cliquer Appliquer puis OK
   

 

 

3. Suppression des éléments infectieux.

 

Il est possible que tu ne trouves pas certains des éléments que je te demande de supprimer. Ne t'en inquiète pas, tu n'auras qu'à m'indiquer lesquels tu n'auras pas trouvés. Lorsque j'indique "de taper (en gras)", je veux dire tape ce qui est en gras, je ne te demande pas de le mettre en gras (LOL), on s'est mal compris.

 

- Dans Menu Démarrer, Exécuter : tape (en gras) : cmd puis [ENTREE]

Puis tape (en gras) ce qui suit :

 

sc stop STI Simulator [Valider]

sc delete STI Simulator [Valider]

 

sc stop Windows Update Service [Valider]

sc delete Windows Update Service [Valider]

 

-Ferme la fenêtre CMD. Tu me rapporteras les messages d'erreur s'il y en a.

 

- Fais une recherche pour chacun des fichiers suivants (en gras) et supprime les si tu les trouves. Il faudra m'indiquer lesquels tu n'auras pas trouvés. Il est probable qu'ils soient dans d:\windows ou d:\windows\system32. (Pour effectuer la recherche, va dans Menu Démarrer, Rechercher, Rechercher des fichiers et dossiers. Copie le nom du fichier dans 'une partie ou l'ensemble du nom du fichier, sélectionne Poste de travail dans "rechercher dans". Modifie les options avancées comme indiqué sur l'image ici).

winsystem.exe

MSASP32.exe

winaup.exe

phqghume.exe

navupdate64.exe

PAStiSvc.exe

pwnsvc.exe

 

-Dans Menu Démarrer, Panneau de configuration, Ajout / Suppression de programmes, désinstalle (Je n'ai pas l'impression que tu ais fait ceci sur la procédure précédente):

 

MyWebSearch Email Plugin

My Web Search Bar

 

Si tu ne les trouve pas, essaie avec My Web Search

 

- Dans Menu Démarrer, Exécuter : tape (en gras) : d:\Program files. Supprime le dossier :

 

mywebsearch si tu trouves

MyWebSearch Email Plugin si tu trouves

MyWebSearch si tu trouves

 

 

-Rends toi dans ces dossiers et vide le contenu. C'est à dire que tu dois supprimer tout ce qu'ils contiennent, mais ne supprime pas le dossier.

 

d:\TEMP

d:\WINDOWS\TEMP

d:\Documents And Settings\Session utilisateur\Local Settings\Temp

d:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

-Vide la corbeille.

 

 

4. Suppression (FIX) des lignes dans HijackThis.

 

Lance un scan HijackThis, clique sur Do a system scan only et coche les lignes ci-dessous (si présentes) :

 

O4 - HKLM\..\Run: [Windows_Protect] winsystem.exe

O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe

O4 - HKLM\..\Run: [WINDOWS SYSTEM] winaup.exe

O4 - HKLM\..\Run: [LOCAL INTERNET WEB DRIVERS FOR WIN32] phqghume.exe

O4 - HKLM\..\Run: [MS UniX] navupdate64.exe

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] D:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 D:\PROGRA~1\MYWEBS~1\bar\7.bin\MWSBAR.DLL,S

O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe

O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe

O4 - HKLM\..\RunServices: [VIEW POINT DRIVERS] phqghum.exe

O4 - HKLM\..\RunServices: [GHBW1] D:\WINDOWS\TEMP\GHBW1.EXE

O4 - HKLM\..\RunServices: [CDUC2] D:\WINDOWS\TEMP\CDUC2.EXE

O4 - HKLM\..\RunServices: [CSSF3] D:\WINDOWS\TEMP\CSSF3.EXE

O4 - HKLM\..\RunServices: [iPXW4] D:\WINDOWS\TEMP\IPXW4.EXE

O4 - HKLM\..\RunServices: [WINDOWS SYSTEM] winaup.exe

O4 - HKLM\..\RunServices: [NIIJ0] D:\WINDOWS\TEMP\NIIJ0.EXE

O4 - HKLM\..\RunServices: [DHWD1] D:\WINDOWS\TEMP\DHWD1.EXE

O4 - HKLM\..\RunServices: [TBOR2] D:\WINDOWS\TEMP\TBOR2.EXE

O4 - HKLM\..\RunServices: [NNES3] D:\WINDOWS\TEMP\NNES3.EXE

O4 - HKLM\..\RunServices: [PRSL4] D:\WINDOWS\TEMP\PRSL4.EXE

O4 - HKLM\..\RunServices: [OHGE0] D:\WINDOWS\TEMP\OHGE0.EXE

O4 - HKLM\..\RunServices: [bXGT1] D:\WINDOWS\TEMP\BXGT1.EXE

O4 - HKLM\..\RunServices: [GFOL2] D:\WINDOWS\TEMP\GFOL2.EXE

O4 - HKLM\..\RunServices: [VVEV3] D:\WINDOWS\TEMP\VVEV3.EXE

O4 - HKLM\..\RunServices: [LPPJ4] D:\WINDOWS\TEMP\LPPJ4.EXE

O4 - HKLM\..\RunServices: [LOCAL INTERNET WEB DRIVERS FOR WIN32] phqghume.exe

O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] D:\PROGRA~1\MYWEBS~1\bar\7.bin\mwsoemon.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...html?p=ZNfox000

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...e/bridge-c5.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1118508792677

O23 - Service: STI Simulator - Unknown owner - D:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: Windows Update Service - Unknown owner - D:\WINDOWS\pwnsvc.exe (file missing)

 

-Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked. C'est cela que tu as oublié de faire sur la procédure précédente !

 

 

5. Nettoyage du disque pour préparer et faciliter l'intervention d'EWIDO.

 

-Double-cliquer ATF-Cleaner.exe afin de lancer le programme :

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

-Exécute EasyCleaner (Utiliser le raccourci sur le bureau) :

Utilise les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find". Lorsque le scan est terminé, clique sur "Delete all".

 

-Exécute JV16 puis :

Mets le logiciel en français Preferences > Language > Français > OK.

Ensuite, Outils registre > menu Outils > nettoyeur de registre.

Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

Clique sur "Continuer" puis sur "Démarrer".

Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer".Tu peux supprimer toutes les entrées en vert.

 

 

6. Nettoyage complémentaire par EWIDO.

 

-Lance Ewido et clique sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

A la fin de l'analyse, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

 

7. Redémarrage en mode normal.

 

-Poste le rapport EWIDO et un nouveau Log HijackThis.

Modifié le 16 avril 2006 par Gof

[nyny34]

re gof (je viens de voir ton message ) et chercheur

 

Alors je vais poster en plusieurs fois car ça risque d'être long

 

D'abord le rapport de la procédure:

 

sc stop STI Simulator [Valider]

sc delete STI Simulator [Valider]

sc stop Windows Update Service [Valider]

sc delete Windows Update Service [Valider]

Message d'erreur : Pour les 2

 

OPEN SERVICE FAILED 1060

Le service spécifié n'existe pas en tant que service installé

 

Pas de trace des dossiers suivants (j'ai modifier dans la recherche comme tu avais dit)

- winsystem.exe, MSASP32.exe, winaup.exe, phqghume.exe, navupdate64.exe, pwnsvc.exe

 

Pas de MY WEB SEARCH, dans programme file ni nul part d'ailleurs

 

d:\TEMP (pas trouvé)

d:\WINDOWS\TEMP (il était vide)

d:\Documents And Settings\Session utilisateur\Local Settings\Temp (j'ai pu supprimer sauf un dossier, refusé, DFFC6D.tmp)

d:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files(c'est bon)

 

Voila pour ce que j'avais noté (j'espère que ça ira)

 

Je post le rapport d'ewido

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 17:47:56, 16/04/2006

+ Somme de contrôle: E98F8C4F

 

+ Résultats du scan:

 

:mozilla.27:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

:mozilla.28:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

:mozilla.40:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

:mozilla.48:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Casalemedia : Nettoyer et sauvegarder

:mozilla.49:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyer et sauvegarder

:mozilla.50:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyer et sauvegarder

:mozilla.66:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

:mozilla.67:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

:mozilla.68:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

:mozilla.69:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.72:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

:mozilla.73:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.74:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.76:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.77:D:\Documents and Settings\tania\Application Data\Mozilla\Firefox\Profiles\zj7py111.default\cookies.txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Je post hijackthis après

[nyny34]

Voila la suite, bon courage

 

Logfile of HijackThis v1.99.1

Scan saved at 17:53:12, on 16/04/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Sygate\SPF\smc.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\AntiVir PersonalEdition Classic\sched.exe

D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

D:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\ewido anti-malware\ewidoctrl.exe

D:\WINDOWS\System32\nvsvc32.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\htpatch.exe

D:\WINDOWS\System32\RunDll32.exe

D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

D:\WINDOWS\System32\ctfmon.exe

D:\Program Files\Messenger\msmsgs.exe

D:\Program Files\MSN Messenger\msnmsgr.exe

C:\Reader\reader_sl.exe

D:\WINDOWS\System32\wuauclt.exe

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [HTpatch] D:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [siSUSBRG] D:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [smcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus C44 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"

O4 - HKLM\..\Run: [sunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\ewido anti-malware\ewidoctrl.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Program Files\Sygate\SPF\smc.exe