Un dll manquant : on me dit de faire une désinfection

[horus agressor]

Re,

 

Je décroche du post...Régis est dessus et il se débrouille très bien...Question de politesse et de respect vis à vis de lui...Et histoire de ne pas "confuser" la situation...

 

J'ai parfois une fâcheuse tendance à mettre mon grain de sable un peu partout, je suis mais je ne suis pas

 

Je suivrais ce post en tout cas

 

Amicalement.

[regis56]

RE

 

Non pour moi tu peut intervenir quand tu veut !

C'est un plaisir de travailler avec toi

De plus c'est moi l'incruste ici la politesse voudrait que ce soit moi qui m'efface !

 

On peut continuer à deux moi cela ne me dérrange pas !

(petite entorse à la règle pour une fois ?)

 

Régis.

[horus agressor]

RE

 

Non pour moi tu peut intervenir quand tu veut !

C'est un plaisir de travailler avec toi

De plus c'est moi l'incruste ici la politesse voudrait que ce soit moi qui m'efface !

 

On peut continuer à deux moi cela ne me dérrange pas !

(petite entorse à la règle pour une fois ?)

 

Régis.

 

Lit mon MP

 

Tu te débrouille mieux que moi, tu as le titre de conseiller en sécurité, moi pas, je ne veux "usurper" personne...J'aime aider, mais pas comme une Mère Thérésa, même si c'est une sainte que je respecte, je le suis moins malgré ma bonne volonté, j'aime un peu peu trop le chocs des idées, et je suis un "grand malade"

 

A vrai dire, j'ai appris le plus gros de ce que je sais sans aucune procédure stricte et dirigée...J'en ai bavé, intallation-réeinstallation direct en cas d'infection et je n'ai découvert des outils que bien plus tard, un raisonnement néanderthalien mais qui a ses avantages...L'ordre me dérange parfois, même si je sais qu'il est un fondement d'un PC qui tourne bien

 

Une sorte de sauvage pas méchant de la Toile l'Horus

 

Amicalement.

Modifié le 12 mai 2006 par horus agressor

[jufi]

bonjour

j'ai nettoyé avec létape2, mais seulement sur le disque I (OS 2)

et j'ai toujours le dll manquant

 

SmitFraudFix v2.43

 

Rapport fait à 8:02:29,84, 13/05/2006

Executé à partir de I:\Documents and Settings\julien\Bureau\pc infevt‚\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

I:\WINDOWS\icont.exe supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 08:19:03, 13/05/2006

+ Somme de contrôle: 1C9E3AC3

 

+ Résultats du scan:

 

I:\Program Files\whInstall -> Adware.Webhancer : Nettoyer et sauvegarder

I:\Program Files\whInstall\license.txt -> Adware.Webhancer : Nettoyer et sauvegarder

I:\Program Files\whInstall\readme.txt -> Adware.Webhancer : Nettoyer et sauvegarder

I:\Program Files\whInstall\Sporder.dll -> Adware.Webhancer : Nettoyer et sauvegarder

I:\Program Files\whInstall\whAgent.ini -> Adware.Webhancer : Nettoyer et sauvegarder

I:\WINDOWS\system32\ad.html -> Hijacker.Agent.e : Nettoyer et sauvegarder

I:\WINDOWS\system32\adpperf.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\aeioglxx.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\auferror.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\bak.exe/bak.exe -> Backdoor.Rbot.ayh : Erreur durant le nettoyage

I:\WINDOWS\system32\bak.exe/bak.exe -> Backdoor.Rbot.ayh : Erreur durant le nettoyage

I:\WINDOWS\system32\bxowser.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\csmcat.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\cwutil.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\dgskmon.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\guard.tmp -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\i006lads1d06.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\iIssam.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\iTssvcs.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\ivfgnt5.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\iVssam.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\iXssam.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\kodes.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\ktdpl.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\mfencode.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\MGVCI70.DLL -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\mhqm.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\mvdocs.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\mxrtdep.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\naevent.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\nbmsdba.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\ndvdmd.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\oqe2nls.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\ozesvr32.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\pmbase.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\sgrwvdrv.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\sHfrcdlg.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\skcbase.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\snmapi.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\soimeng.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\sqsbkup.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\wbbvw.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\wD2time.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\wddap32.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\wfninet.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\wnpencen.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\wsstream.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\wtbvw.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\wviprop.dll -> Adware.Look2Me : Nettoyer et sauvegarder

I:\WINDOWS\system32\wzpcd.dll -> Adware.Look2Me : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Logfile of HijackThis v1.99.1

Scan saved at 08:36:20, on 13/05/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

I:\WINDOWS\System32\smss.exe

I:\WINDOWS\system32\winlogon.exe

I:\WINDOWS\system32\services.exe

I:\WINDOWS\system32\lsass.exe

I:\WINDOWS\System32\Ati2evxx.exe

I:\WINDOWS\system32\svchost.exe

I:\WINDOWS\System32\svchost.exe

I:\WINDOWS\system32\spoolsv.exe

I:\Program Files\AntiVir PersonalEdition Classic\sched.exe

I:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

I:\WINDOWS\System32\inetsrv\inetinfo.exe

I:\WINDOWS\ie.exe

I:\WINDOWS\system32\rundll32.exe

I:\WINDOWS\system32\Ati2evxx.exe

I:\WINDOWS\system32\userinit.exe

I:\WINDOWS\Explorer.EXE

I:\WINDOWS\System32\RunDll32.exe

I:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

I:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

I:\WINDOWS\System32\ctfmon.exe

I:\Program Files\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - I:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Windows Logon Application] I:\WINDOWS\System32\winIogon.exe

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager] I:\WINDOWS\update\updmgr.exe

O4 - HKLM\..\Run: [w0046f02.dll] RUNDLL32.EXE w0046f02.dll,I2 0009ad8800046f02

O4 - HKLM\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKLM\..\Run: [Microsoft Update] scvhost.exe

O4 - HKLM\..\Run: [Microsoft Machinex] omgs.exe

O4 - HKLM\..\Run: [ieLower] ielower.exe

O4 - HKLM\..\Run: [Winsock2 driver] YCUT.EXE

O4 - HKLM\..\Run: [Compaq Service Drivers] omsg.exe

O4 - HKLM\..\Run: [AdobeReaderPro] winzip.exe

O4 - HKLM\..\Run: [Laordll service] eqbkajslui.exe

O4 - HKLM\..\Run: [Microsoft Professional] scrss.exe

O4 - HKLM\..\Run: [ATIPTA] I:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [avgnt] "I:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKLM\..\RunServices: [Microsoft Update] scvhost.exe

O4 - HKLM\..\RunServices: [Microsoft Machinex] omgs.exe

O4 - HKLM\..\RunServices: [ieLower] ielower.exe

O4 - HKLM\..\RunServices: [Compaq Service Drivers] omsg.exe

O4 - HKLM\..\RunServices: [AdobeReaderPro] winzip.exe

O4 - HKLM\..\RunServices: [Laordll service] eqbkajslui.exe

O4 - HKLM\..\RunServices: [Microsoft Professional] scrss.exe

O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - I:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - I:\WINDOWS\web\related.htm

O20 - Winlogon Notify: URL - I:\WINDOWS\system32\i2nm0c51ef.dll

O20 - Winlogon Notify: WindowsUpdate - I:\WINDOWS\system32\i824lifq182e.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - I:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - I:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - I:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Command Service (cmdService) - Unknown owner - I:\WINDOWS\SnVsaWVu\command.exe (file missing)

O23 - Service: Microsoft Internet Explorer (Internet Explorer) - Unknown owner - I:\WINDOWS\ie.exe

O23 - Service: Network Monitor - Unknown owner - I:\Program Files\Network Monitor\netmon.exe (file missing)

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - I:\WINDOWS\update\updmgr.exe (file missing)

[jufi]

ensuite je viens de faire un nettoyage complet en mode sans échec, avec antivir depuis mon disque C: et voici le log hijack

 

Logfile of HijackThis v1.99.1

Scan saved at 10:33:27, on 13/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe

C:\Program Files\Lexmark X74-X75\lxbbbmon.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\HighJackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program

[regis56]

Bonjour jufi !

 

Oula une chose à la fois STP !

 

Que veut tu faire désinfecter le disque C ou I d'abord ? sinon on va tout mélanger !

De plus le deuxième rapport celui du C n'est pas complet !

 

Comme j'ai le rapport du I on va continuer avec lui seulment pour l'instant !

 

Analyse en cours retour dans un instant !

[regis56]

Re

 

Voici ce que tu vas devoir faire STP

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

• Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
  
• Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
  
• Coche Run this program as a task
  
• Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
  
• Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
  
• Lorsque le scan termine, clique sur le bouton Remove L2M
  
• Un message Done Scanning apparaîtra, clique OK.
  
• Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
  
• Ton PC va maintenant s'éteindre.
  
• Démarre ton PC normalement.
  
• Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
  

*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

 

Ensuite !

 

-Télécharger et installer EasyCleaner de Toni Helenius (Programme faisant partie de la catégorie des nettoyeurs)

http://personal.inet.fi/business/toniarts/ecleane.htm

 

 

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC.

Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

 

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware )

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

-Maintenant Je vais te demander d'arrêter un service qui est lancé automatiquement en mode normal

et qui est lié à l'infection !

 

Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

Command Service

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,

puis dérouler le Type de Démarrage pour le modifier en Désactivé

Cliquer sur Appliquer puis OK

 

Recommence avec ceux là

Microsoft Internet Explorer

Network Monitor

 

Lancer Hijackthis, choisir Open the Misc.Tools section

la fenêtre "Configuration" va s'ouvrir

cliquer sur (b]Delete a NT service...[/b]

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entrer dans la zone de dialogue :

 

cmdService

 

Note : assurez-vous de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.

Cliquer NO

 

Recommence avec ceux là

Internet Explorer

Network Monitor

 

-Maintenant on va modifier la base de registres pour éliminer les lignes liées a l'infection !

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

 

O4 - HKLM\..\Run: [Windows Logon Application] I:\WINDOWS\System32\winIogon.exe

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager] I:\WINDOWS\update\updmgr.exe

O4 - HKLM\..\Run: [w0046f02.dll] RUNDLL32.EXE w0046f02.dll,I2 0009ad8800046f02

O4 - HKLM\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKLM\..\Run: [Microsoft Update] scvhost.exe

O4 - HKLM\..\Run: [Microsoft Machinex] omgs.exe

O4 - HKLM\..\Run: [ieLower] ielower.exe

O4 - HKLM\..\Run: [Winsock2 driver] YCUT.EXE

O4 - HKLM\..\Run: [Compaq Service Drivers] omsg.exe

O4 - HKLM\..\Run: [AdobeReaderPro] winzip.exe

O4 - HKLM\..\Run: [Laordll service] eqbkajslui.exe

O4 - HKLM\..\Run: [Microsoft Professional] scrss.exe

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKLM\..\RunServices: [Microsoft Update] scvhost.exe

O4 - HKLM\..\RunServices: [Microsoft Machinex] omgs.exe

O4 - HKLM\..\RunServices: [ieLower] ielower.exe

O4 - HKLM\..\RunServices: [Compaq Service Drivers] omsg.exe

O4 - HKLM\..\RunServices: [AdobeReaderPro] winzip.exe

O4 - HKLM\..\RunServices: [Laordll service] eqbkajslui.exe

O4 - HKLM\..\RunServices: [Microsoft Professional] scrss.exe

O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - I:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - I:\WINDOWS\web\related.htm

O20 - Winlogon Notify: URL - I:\WINDOWS\system32\i2nm0c51ef.dll

O20 - Winlogon Notify: WindowsUpdate - I:\WINDOWS\system32\i824lifq182e.dll (file missing)

O23 - Service: Command Service (cmdService) - Unknown owner - I:\WINDOWS\SnVsaWVu\command.exe (file missing)

O23 - Service: Microsoft Internet Explorer (Internet Explorer) - Unknown owner - I:\WINDOWS\ie.exe

O23 - Service: Network Monitor - Unknown owner - I:\Program Files\Network Monitor\netmon.exe (file missing)

 

 

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

 

-Vérifier d'avoir accès à tous les fichiers :

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

Maintenant on va supprimer manuellement les fichiers infectieux !

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge I:\WINDOWS\System32\

Le dossier va s'ouvrir

Supprime le fichier indiqué en gras:

winIogon.exe(clique droit /supprimer) ne pas confondre avec winlogon.exe !!!!

i2nm0c51ef.dll

i824lifq182e.dll

 

Répète l'opération pour ceux là

I:\WINDOWS\

ie.exe

I:\WINDOWS\update\

updmgr.exe

I:\WINDOWS\web\

related.htm

I:\WINDOWS\SnVsaWVu\

command.exe

I:\Program Files\Network Monitor\

netmon.exe

 

Utiliser la fonction rechercher via "démarrer/rechercher/des fichiers ou des dossiers"(si problème voir ici http://www.hiboox.com/image.php?img=go6nc45.jpg )

Rechercher surement dans C:\WINDOWS\System32\ ou C:\WINDOWS\System\ et supprimer le(s) fichier(s) en gras suivant(s) si présent(s):

MSDNSD32.exe

scvhost.exe ne pas confondre avec svchost.exe !!!!

omgs.exe

winzip.exe

eqbkajslui.exe

scrss.exe

ielower.exe

omsg.exe

YCUT.EXE

 

Vider la poubelle !

 

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" -

"Browser Cookies" puis clique sur "Find".

Lorsque le scan est terminé,clique sur "Delete all".

 

 

Relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer

(avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher

"Effectuer cette action avec toutes les infections".

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Poster le rapport Ewido

-Indiquer si le Pc présente encore des dysfonctionnements

 

A plus et bon courage !

[jufi]

merci régis, je m'y mets demain matin, je n'ai pas mon pc d'où je te réponds

...

[jufi]

salut

regis, je suis en train de nettoyer mais dans ta procédure cette ligne me pose problème :

 

"Supprime le fichier indiqué en gras:

winIogon.exe(clique droit /supprimer) ne pas confondre avec winlogon.exe !!!!

i2nm0c51ef.dll

i824lifq182e.dll"

 

il faut me dire ce que je dois supprimer, tu as dû te tromper, je ne comprends pas

 

merci

[regis56]

Bonsoir jufi !

 

Merci de poser la question !!

 

C'est là ou les bestioles sont vicieuses !

 

Regarde bien !

 

winIogon.exe(clique droit /supprimer) ne pas confondre avec winlogon.exe !!!!

 

Le premier c'est un I comme Isabelle

 

Le vrai à un L comme laurent

 

Je te félicite de ne pas foncer tete baissé et de demander des précisions quand tu ne comprend pas !

 

A plus !