Nettoyage fait + Rapport HJT = PC planté en mode normal

[melo9976]

Bonjour à vous tous,

 

j'avais un pb sur mon pc portable : Lenteur (UC utilisée à 100%) + popup (fenetres de pub) qui essayaient de s'ouvrir tt le temps.

J'ai lu qques messages sur votre forum : Et j'ai trouvé la méthode de tesgaz bien cool !

Donc j'ai fait le nettoyage comme expliqué, téléchargé HJT & Antivir... Et voilà mon rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 23:39:17, on 17/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\mousepad1.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\Program Files\PestPatrol\caissdt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\All Users\Documents\NICO\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\ikmpn.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,tgssxdn.exe

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [mousepad] C:\\mousepad1.exe

O4 - HKLM\..\Run: [RunAppBk] C:\WINDOWS\system32\ctfmun.exe

O4 - HKLM\..\Run: [Microsoft Command C] winhost32.exe

O4 - HKLM\..\Run: [ahmb] c:\windows\eee2.exe

O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\PestPatrol\caissdt.exe"

O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\PestPatrol\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"

O4 - HKLM\..\Run: [>G9a] C:\windows\eee2.exe

O4 - HKLM\..\Run: [wahm] C:\windows\eee2.exe

O4 - HKLM\..\Run: [ahkw] C:\windows\eee2.exe

O4 - HKLM\..\RunServices: [Microsoft Command C] winhost32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoft Command C] winhost32.exe

O4 - HKCU\..\RunServices: [Microsoft Command C] winhost32.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {4ABF810A-F11D-4169-9D5F-7D274F2270A1} - C:\WINDOWS\System32\dmonwv.dll (file missing)

O9 - Extra 'Tools' menuitem: Java - {4ABF810A-F11D-4169-9D5F-7D274F2270A1} - C:\WINDOWS\System32\dmonwv.dll (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.mmohsix.com

O15 - Trusted Zone: *.popuppers.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5526B4C6-63D6-41A1-9783-0FABF529859A} (mm06ocx.mm06ocxf) - http://cabs.media-motor.net/cabs/joysaver.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1147782395468

O20 - Winlogon Notify: RunServicesOnce - C:\WINDOWS\system32\l4j8le1u1h.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

**********

 

Voilà, j'ai trouvé louche les O15 - Trusted Zone donc je les aient virées

de plus depuis que j'ai Antivir, il me détecte toutes les 3sec. des Trojan : sbulnw.exe & ikmpn.exe

mon ms word ne démarre plus...

Je suis allé dans windows\System 32\ et bien énervé, j'ai supprimé pop06ap2.exe - 1b173bfe.pf

et sbulnw.exe - 126408bf.pf & ikmpn.exe - ###.pf

Tout content je redémarre mon pc...

impossible de redémarrer en mode normal... il bloque à l'écran windows : chargement de vos paramètres...

 

Voilà, si vous pouviez me tirer de là, ce serait sympa

MELO9976

[Malekal_morte]

Bonjour melo9976,

 

Tu es infectée.

Fais déjà ceci, les popup devraient s'arreter mais la procédure n'est pas terminée donc ne part pas en courant

 

Télécharge Look2Me-Destroyer.exe sur ton Bureau.

---> Télécharger Look2Me-Destroyer.exe

 

- Ferme toutes les fenêtres et programmes actifs avant de passer à l'étape suivante.

- Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.

- Coche Run this program as a task

- Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique OK

- Il se relancera après les 10 secondes, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.

- Lorsque le scan termine, clique sur le bouton Remove L2M

- Un message Done Scanning apparaîtra, clique OK.

- Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.

- Ton PC va maintenant s'éteindre.

- Démarre ton PC normalement.

- Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

 

** Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.

 

** Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : Accepte.

 

** Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX, et place-le dans le dossier C:\Windows\System32.

Modifié le 18 mai 2006 par Malekal_morte

[melo9976]

euh, j'ai oublié de préciser : Spybot me plante à chaque fois son scan avec mailto...?? Erreurs.

mais avant il me trouve LSA & Deskwizz qu'il n'arrive pas à enlever.

 

Et puisque je n'arrivait pas à tout nettoyer en mode sans echec avec F8, j'ai tapé msconfig dans l'exécuter...

Et puis j'ai modifié qques taches à l'ouverture... et je crois que j'ai merdé qque chose, c'est depuis ça que ça plante.

 

@+ et merci d'avance

MELO9976

[Malekal_morte]

Démarrer / executer / tape msconfig et clic sur OK

Dans l'onglet général, clic sur "Démarrage normal" (première option)

 

fais les manips avec look2me-destroyer s'il te plait.

[melo9976]

ok je fais ça de suite meci

 

oui, je voulais dire que msconfig était déjà en mode normal, mais que le pc plantait après l'intoduction de mon mot de passe à l'ouverture de ma session windows...

j'ai vraiment du faire une fausse manip

 

Look2Me va-t-il pouvoir s'executer en mode sans echec ???

 

oui, il me dit : "Look2Me-Destroyer will close and re-open in approximately 1 min".

mais au bout de 5 min, il ne se relance toujours pas...

Modifié le 18 mai 2006 par melo9976

[melo9976]

j'hésite à tout formater et à réinstaller mes programmes, en partitionnant mon disque...

croyez-vous que je pourrais dé-planter mon pc portable ??

 

Il n'est pas relié au web... cela pose-t-il un pb pour le nettoyage ?

merci d'avance

[Phengizy]

élo,

C'est p'tet bête ce qui va suivre mais .............................

Peux-tu tenter une Restauration du Système à une date antèrieure au plantage ????

@+

[Malekal_morte]

ok je fais ça de suite meci

 

oui, je voulais dire que msconfig était déjà en mode normal, mais que le pc plantait après l'intoduction de mon mot de passe à l'ouverture de ma session windows...

j'ai vraiment du faire une fausse manip

 

Look2Me va-t-il pouvoir s'executer en mode sans echec ???

 

oui, il me dit : "Look2Me-Destroyer will close and re-open in approximately 1 min".

mais au bout de 5 min, il ne se relance toujours pas...

 

Essaye en mode sans échec.