Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rapport HijackThis


Luccio
 Partager

Messages recommandés

Suite à l'utilisation d'antivir qui m'a permis de virer pas mal de fichiers infectés (peut etre que dans mon élan j'en ai viré trop.... :P ) je ne peux pas installer certains programmes..... :-P

 

erreur9ew.th.jpg

 

Voici mon rapport HijackThis, merci d'avance pour votre aide...

 

Logfile of HijackThis v1.99.1
Scan saved at 22:43:37, on 29/04/2006
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\jfkfly.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINNT\system32\msiexec.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINNT\system32\winbrume.dll
O3 - Toolbar: @msdxmLC.dll,[email protected],&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Microsoft Windows System] syshost.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINNT\system32\jfkfly.exe
O4 - HKLM\..\RunServices: [cnkdsk] C:\WINNT\system32\cnkdsk.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System] syshost.exe
O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [cnkdsk] C:\WINNT\system32\cnkdsk.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143883948006
O20 - Winlogon Notify: SensSrv - C:\WINNT\
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Windows DLL Loader (RunDll32) - Unknown owner - C:\gkdjhg.exe (file missing)
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINNT\system32\jfkfly.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINNT\system32\winscntrl.exe (file missing)

 

Si quelqu'un peut me dire ce qu'il faut faire maintenant.... :P

Modifié par Luccio
Lien vers le commentaire
Partager sur d’autres sites

salut Luccio, et bienvenue sur ce forum :P

 

Une petite remarque pour commencer, ton système n'estpas à jour et du même coup vulnérable!!

Après désinfection, il faudra sérieusement penser à installer le Service Pack 4!!

 

As tu bien suivi la procédure de nettoyage ici? => http://forum.zebulon.fr/index.php?showtopic=83986

 

Le pc est bien infecté!Pourquoi as tu désinstallé Antivir de ton pc?? il est nécéssaire d'utiliser un antivirus pour protéger ton pc!! Ne surfe pas sans lui, tu risques de pourrir ton pc à vitesse grand v..!

 

Commence comme ceci stp=>

 

* Télécharge SmitfraudFix :

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Dezipper la totalité de l'archive smitfraudfix.zip

 

Double cliquer sur smitfraudfix.cmd

 

Sélectionner 1 pour créer un rapport , et poster son contenu ici.

Lien vers le commentaire
Partager sur d’autres sites

salut Luccio, et bienvenue sur ce forum :P

 

Une petite remarque pour commencer, ton système n'estpas à jour et du même coup vulnérable!!

Après désinfection, il faudra sérieusement penser à installer le Service Pack 4!!

 

As tu bien suivi la procédure de nettoyage ici? => http://forum.zebulon.fr/index.php?showtopic=83986

 

Le pc est bien infecté!Pourquoi as tu désinstallé Antivir de ton pc?? il est nécéssaire d'utiliser un antivirus pour protéger ton pc!! Ne surfe pas sans lui, tu risques de pourrir ton pc à vitesse grand v..!

 

Commence comme ceci stp=>

 

* Télécharge SmitfraudFix :

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Dezipper la totalité de l'archive smitfraudfix.zip

 

Double cliquer sur smitfraudfix.cmd

 

Sélectionner 1 pour créer un rapport , et poster son contenu ici.

Merci pour cette réponse !

Oui j'ai bien suivi la procédure de néttoyage.... et supprimé pas mal de fichiers avec antivir en mode sans echec

 

Effectivement il n'y a plus antivir car suite à un réinstall de windows (je pensai récuppérer les fichiers supprimés par exces de zele) impossible de démarrer le pc en mode normal, j'ai donc désinstallé antivir et là le pc a pu démarrer....

c'est à ce moment là que j'ai fait mon premier rapport HijackThis....(cf post ci dessus)

 

Depuis j'ai fait un gros windows update et j'ai donc bien le service pack 4.

 

J'ai plus antivir mais j'ai toujours zonealarm qui me dit que le fichier fjkfly.exe tente de se connecter à internet...

 

Je fais le rapport Smitfraudfix juste apres.

Modifié par Luccio
Lien vers le commentaire
Partager sur d’autres sites

J'ai eu un message d'erreur à propos des clés du registre au lancement de smitfaud.... :P

 

Mais bon on dirait que ca a quand meme marché.... :P

 

SmitFraudFix v2.37

Rapport fait à 10:38:29,54, dim. 30/04/2006
Executé à partir de C:\Documents and Settings\luc\Bureau\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\ms1.exe PRESENT !
C:\tool1.exe PRESENT !
C:\tool2.exe PRESENT !
C:\tool3.exe PRESENT !
C:\tool4.exe PRESENT !
C:\tool5.exe PRESENT !
C:\toolbar.exe PRESENT !
C:\uniq PRESENT !
C:\winstall.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32

C:\WINNT\system32\bin29a.log PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\luc\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\luc\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!! Attention, les clés qui suivent ne sont pas forcément infectées !!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

et voila ce que me donne maintenant HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 11:33:15, on 30/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\jfkfly.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINNT\system32\winbrume.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Microsoft Windows System] syshost.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINNT\system32\jfkfly.exe
O4 - HKLM\..\RunServices: [cnkdsk] C:\WINNT\system32\cnkdsk.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System] syshost.exe
O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [cnkdsk] C:\WINNT\system32\cnkdsk.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143883948006
O20 - Winlogon Notify: SensSrv - C:\WINNT\
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Windows DLL Loader (RunDll32) - Unknown owner - C:\gkdjhg.exe (file missing)
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINNT\system32\jfkfly.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINNT\system32\winscntrl.exe (file missing)

Modifié par Luccio
Lien vers le commentaire
Partager sur d’autres sites

salut Luccio :P

 

Peux tu faire ceci à présent=>

 

Redémarre en mode sans échec, relance SmitfraudFix.cmd

Dans le menu, sélectionne 2

Répondre O (oui) à la question Voulez-vous nettoyer le registre ?

 

Redémarre normalement et poste le nouveau rapport puis un nouveau log HijackThis stp.

 

ok merci c'est parti !

Lien vers le commentaire
Partager sur d’autres sites

Voila mon rapport SFF option 2:

 

SmitFraudFix v2.37

Rapport fait à 16:05:25,86, dim. 30/04/2006
Executé à partir de C:\Documents and Settings\luc\Bureau\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\ms1.exe supprimé
C:\tool1.exe supprimé
C:\tool2.exe supprimé
C:\tool3.exe supprimé
C:\tool4.exe supprimé
C:\tool5.exe supprimé
C:\toolbar.exe supprimé
C:\uniq supprimé
C:\winstall.exe supprimé
C:\WINNT\system32\bin29a.log supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé. 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Et le HJT:

Logfile of HijackThis v1.99.1
Scan saved at 16:10:29, on 30/04/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\jfkfly.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINNT\system32\winbrume.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Microsoft Windows System] syshost.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINNT\system32\jfkfly.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [cnkdsk] C:\WINNT\system32\cnkdsk.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System] syshost.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [cnkdsk] C:\WINNT\system32\cnkdsk.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143883948006
O20 - Winlogon Notify: SensSrv - C:\WINNT\
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Windows DLL Loader (RunDll32) - Unknown owner - C:\gkdjhg.exe (file missing)
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINNT\system32\jfkfly.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINNT\system32\winscntrl.exe (file missing)

 

comme tu peux le voir j'ai réinstallé antivir sur tes conseils... :P

 

il y a eu encore un message d'erreur au lancement de SFF en mode sans echec et le nettoyage automatique a planté (normal sous 2000, non ?)

Lien vers le commentaire
Partager sur d’autres sites

il y a eu encore un message d'erreur au lancement de SFF en mode sans echec et le nettoyage automatique a planté (normal sous 2000, non ?)

Les fichiers ont été éliminés, donc tout vas bien :P je demanderai des précisions au conceptuer de Smitfraud(S!RI) :P

 

Je lance l'analyse de ton nouveau rapport, réponse dans une vingtaine de minutes :-P

Lien vers le commentaire
Partager sur d’autres sites

Désolé pour la lenteur :P

 

-Télécharge la version d'essai d'Ewido:ici :

et installe le (important: pendant l'installation, sur la page "Additional Options"

décoche les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.

 

-Télécharge swsc.exe de Bobby Fleckmansur ton bureau.

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

Étape 1:

 

*Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows System"=-
"Microsoft (R) Windows Update Manager"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"cnkdsk"=-
"Microsoft Windows System"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cnkdsk"=-

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant: remove.reg

-Dans le champs"Type" en bas de page ,choisis: tous les fichiers

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitter le Bloc Notes. ne clique pas sur le fichier maintenant!

 

=>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: fichierreg7bs.gif

si ce n'est pas le cas,reprends les informations ci dessus et recommence!

 

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

*Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINNT\system32\winbrume.dlll

 

O4 - HKLM\..\Run: [Microsoft Windows System] syshost.exe

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager] C:\WINNT\system32\jfkfly.exe

O4 - HKLM\..\RunServices: [cnkdsk] C:\WINNT\system32\cnkdsk.exe

O4 - HKLM\..\RunServices: [Microsoft Windows System] syshost.exe

O4 - HKCU\..\Run: [cnkdsk] C:\WINNT\system32\cnkdsk.exe

 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

 

O20 - Winlogon Notify: SensSrv - C:\WINNT\

 

O23 - Service: Windows DLL Loader (RunDll32) - Unknown owner - C:\gkdjhg.exe (file missing)

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINNT\system32\jfkfly.exe

O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINNT\system32\winscntrl.exe (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 4:

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

* Désenregistre les dll suivantes:

 

Vas dans Démarrer/Exécuter et tape ceci dans la boite:

regsvr32 /u C:\WINNT\system32\winbrume.dll

 

un message t'avertit que l'opération a fonctionné.Puis:

regsvr32 /u C:\WINNT\system32\senssrv.dll

 

Un message t'avertit que ca a réussi.

 

*Supprime les fichiers en gras dans C:\WINNT\system32:

 

C:\WINNT\system32\winbrume.dll

C:\WINNT\system32\cnkdsk.exe

C:\WINNT\system32\jfkfly.exe

C:\WINNT\system32\winscntrl.exe

C:\WINNT\system32\senssrv.dll

 

( il est possible que tu ne trouve pas certains fichiers,dis moi lesquels!)

 

*Supprime les fichiers en gras probablement dans C:\WINNT\System32 ou C:\WINNT:

(si tu ne trouves pas ,lance une recherche avec l'assistant de recherche windows)

syshost.exe

 

*Supprime les fichiers en gras dans C::

 

C:\gkdjhg.exe

 

Étape 5:

 

-vas dans le menu démarrer executer et tu tapes : services.msc

 

Cherche le service suivant:Windows DLL Loader (RunDll32)

Double clic dessus :dans le champs"Status du service" sélectionne "arrêté"

dans le champs"Type de démarrage" sélectionne"désactivé" puis "Appliquer" puis"ok"

 

Fais la même chose avec ce service=>

Windows Update Manager (UpdateManager)

wins(WINS) (wins)

Quitte les services.

 

* Lance swsc.exe de Bobby Fleckman en double cliquant sur son icône.

 

dans la boite de dialogue qui s'ouvre, tu tapes :

sc delete RunDll32 => clique sur [entrée] Un message t'avertis du succès de l'opération

puis

sc delete UpdateManager=> clique sur [entrée]

puis

sc delete WINS=> clique sur [entrée]

 

Quitte l'invite de commandes.

 

Étape 6:

 

* Double clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

Étape 7:

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Étape 8:

 

*lance Ewido et clique sur "scanner" puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...)

 

*Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification ainsi que le rapport d'Ewido

Dis moi si certaines choses n'ont pas fonctionné :P

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Partager

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...