MARRE DE CET ORDINO POURRI

[patili]

Bonjour a tous,

j'ai un ordi tout vérolé malgré 3 douzaines "d'anti virus

J'ai suivi la procédure de prénettoyage décrite avec antivir et voici le rapport

hijack

Qui peux m'aider? Merci d'avance

 

 

Logfile of HijackThis v1.99.1

Scan saved at 15:51:19, on 20/05/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\dcomcfg.exe

C:\WINDOWS\System32\atmclk.exe

C:\Program Files\McAfee.com\VSO\mcvsshld.exe

C:\Program Files\McAfee.com\VSO\oasclnt.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\System32\Atiptaxx.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\SpyOnThis\SpyOnThisMonitor.exe

c:\progra~1\mcafee.com\vso\mcvsftsn.exe

c:\program files\mcafee.com\agent\mcdetect.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Hijackthis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\System32\hp87C7.tmp

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [iMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [spyBrowser] "C:\Program Files\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [spyOnThis Monitor] C:\Program Files\SpyOnThis\SpyOnThisMonitor.exe

O4 - Global Startup: canon.lnk = C:\Program Files\BJC - The Printer Angel\canon.exe

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCfox000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL

O9 - Extra button: Microsoft® JavaScript® Console - {9E9BA2E0-C38B-11D8-8FDF-444553540000} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra 'Tools' menuitem: JavaScript Console - {9E9BA2E0-C38B-11D8-8FDF-444553540000} - C:\WINDOWS\System32\COMDLG32.OCX

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)

O9 - Extra button: Microsoft® JavaScript® Console - {9E9BA2E0-C38B-11D8-8FDF-444553540000} - C:\WINDOWS\System32\COMDLG32.OCX (HKCU)

O9 - Extra 'Tools' menuitem: JavaScript Console - {9E9BA2E0-C38B-11D8-8FDF-444553540000} - C:\WINDOWS\System32\COMDLG32.OCX (HKCU)

O15 - Trusted Zone: *.morwillsearch.com

O16 - DPF: Win32 Classes -

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/cha...t/c381/chat.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/plugins/fr_FR/Dj...ntrol_fr_FR.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/cha...v45/yacscom.cab

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EP...ol_v1-0-3-9.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...96/mcinsctl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1124917412155

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1124919032125

O16 - DPF: {A71D2A62-DE51-11D3-BD8E-0060979301C2} (EPTEDGEInput.ChainInput) - http://www.emerson-ept.com/EPTroot/EPTEDGE/EPTEDGEInput.CAB

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,26/mcgdmgr.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/s...svc32_FR_XP.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...p1/imloader.cab

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

[facks]

On ce calme patiente un peux ça grouille de specialiste sur ce forum, je crois mème que tu avoir un message de bruce lee d'ans pas longtemps l'aise lui le temps de regarder ton post

[Malekal_morte]

Bonjour,

 

Télécharge F-Secure Blacklight : http://www.f-secure.com/blacklight/try.shtml

 

Lance-le en double-cliquant sur le fichier blbeta.exe

Accepte la licence, et clique enfin sur "Scan"

- Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log en l'ouvrant avec le bloc-note.

Tu peux consulter le tutorial de F-Secure BlackLight

[facks]

Oups j'connais pas encore tous les specialistes Bonjour MALEkAL

Modifié le 20 mai 2006 par facks

[patili]

Bon j'ai essaye Fsecure, il m'a trouve des trucs mais j'ai toujours des fenetres intempestives

[Malekal_morte]

Bon j'ai essaye Fsecure, il m'a trouve des trucs mais j'ai toujours des fenetres intempestives

 

Copie/colle le rapport comme demandé.

[patili]

le voila

05/20/06 17:45:57 [info]: BlackLight Engine 1.0.36 initialized

05/20/06 17:45:57 [info]: OS: 5.1 build 2600 ()

05/20/06 17:45:57 [Note]: 7019 4

05/20/06 17:45:57 [Note]: 7005 0

05/20/06 17:46:05 [Note]: 7006 0

05/20/06 17:46:05 [Note]: 7011 1048

05/20/06 17:46:05 [Note]: 7026 0

05/20/06 17:46:05 [Note]: 7026 0

05/20/06 17:46:05 [Note]: 7024 3

05/20/06 17:46:05 [info]: Hidden process: C:\windows\system32\hkmoge.exe

05/20/06 17:46:05 [Note]: FSRAW library version 1.7.1015

05/20/06 17:46:11 [info]: Hidden file: c:\WINDOWS\SYSTEM32\HKMOGE~3.DAT

05/20/06 17:46:13 [info]: Hidden file: c:\WINDOWS\SYSTEM32\HKMOGE~2.DAT

05/20/06 17:46:14 [info]: Hidden file: C:\windows\system32\hkmoge.exe

05/20/06 17:46:14 [info]: Hidden file: c:\WINDOWS\SYSTEM32\HKMOGE.DAT

05/20/06 17:46:15 [info]: Hidden file: c:\WINDOWS\SYSTEM32\HKMOGE~1.DAT

05/20/06 17:46:15 [info]: Hidden file: c:\WINDOWS\SYSTEM32\MSCLOC~1.DLL

05/20/06 17:46:16 [info]: Hidden file: c:\WINDOWS\SYSTEM32\MSPLOC~1.DLL

05/20/06 17:46:18 [info]: Hidden file: c:\WINDOWS\Prefetch\HKMOGE~1.PF

05/20/06 18:02:46 [Note]: 7007 0

[Malekal_morte]

Voici la manipulation à effectuer en entier

Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

 

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

- Télécharge et installe ewido

- Mets le à jour à partir du bouton Update, ne scan pas maintenant avec.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

- Ouvre le bloc-note et copie/colle ceci dedans :

 

cd %windir%

cd SYSTEM32

attrib -s -r -h hkmoge.exe

del hkmoge.exe

attrib -s -r -h msclock32.dll

del msclock32.dll

attrib -s -r -h msplock32.dll

del msplock32.dll

attrib -s -r -h hkmoge_navps.dat

del hkmoge_navps.dat

attrib -s -r -h hkmoge.dat

del hkmoge.dat

attrib -s -r -h __delete_on_reboot__msclock32.dll

del __delete_on_reboot__msclock32.dll

del attrib -s -r -h

del %windir%\Prefetch\*

 

Toujours sur bloc-note / Fichier / enregistre-sous / nomme le fix.bat et place le sur ton bureau

 

_________

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

 

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

 

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

EGDACCESS.bfu

 

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

-- Double clic sur fix.bat qui se trouve sur ton bureau, une fenetre noire va s'ouvrir et se refermer.

 

-- Navigue dans les dossiers et supprime, si existant :

C:\Program Files\MaillSkinner

 

- Démarre ewido et clique "Complete System Scan"

- Laisse le scan se faire et touche à rien, s'il te propose de supprimer des malwares, dis oui, quand le scan est terminé, clique sur "Save Report" pour enregistrer le rapport et colle le ici

N'hésite pas à consulter l'Aide ewido pour tout problème.

- Tu peux consulter l'Aide ewido

 

 

____

 

 

-- Redémarre en mode normal

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- du scan Kaspersky

- ewido

- le rapport : C:\rapport_clean.txt

- Relance un scan sur BlackLight et copie/colle le rapport ici

 

____

 

Télécharge HijackThis puis génère un log :

- Exécute le et clique sur Do a scan and save log file.

- Ouvre le log avec le Bloc-Note

- Colle le rapport ici

- N'hésite pas à consulter l'aide HijackThis -

[patili]

Merci des conseils

mais je n'arrive pas a télecharger "clean.zip"

(www.maleka.com est introuvable...)

[Malekal_morte]

Merci des conseils

mais je n'arrive pas a télecharger "clean.zip"

(www.maleka.com est introuvable...)

 

le serveur DNS de gandi est out

 

essaye : http://83.202.15.91/download/clean.zip

 

sinon passe l'étape

 

EDIT: ça refonctionne

Modifié le 20 mai 2006 par Malekal_morte