[AIDE]Demande analyse hijackthis

[Berfizan]

Bonjour à tous

 

Je travaille sur le Pc de mon voisin qui est devenu très long à démarrer.

 

J'ai fait un scan complet avec son antivirus AVG à jour : rien détecté

 

J'ai dévalidé toutes les entrées dans msconfig : aucun effet

 

J'ai défragmenté le disque dur : sans effet

 

A tout hasard, je vous mets ici un rapport hijackthis, si quelqu'un a le temps d'y jeter un oeil

 

Merci d'avance

 

Logfile of HijackThis v1.99.1

Scan saved at 15:39:34, on 30/05/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\svchost.exe

E:\andré\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1000annonces-gratuites.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\RunServices: [strmsnmsgr] msnmsgrs.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - (no file)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1102718615894

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE

O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

 

Modifié le 30 mai 2006 par berfizan

[Thanos]

salut berfizan

 

Le pc du voisin est effectivement infecté!! on voit notamment la présence de W32/Rbot-ACQ, des infos desssus ici=> http://www.sophos.com/virusinfo/analyses/w32rbotacq.html

on y voit aussi l'adawre hotbar ! Pour commencer, fais lui faire cette procédure avec Antivir en MSE(+ efficace qu'AVG à mon gout!) => http://forum.zebulon.fr/index.php?showtopic=83986

puis reviens poster un nouveau rapport pour finir le nettoyage

 

Tu as dû le constater mais le pc du voisin a 5 ans de retard dans les mises àjour de Windob!! même pas le SP1! donc autant de faille de sécurité utilisées par les concepteurs de merdwares en tout genre!! Ceci dit: ne fais pas faire la mise à jour tant que le pc n'est pas clean:risques de plantages

 

@+

Modifié le 30 mai 2006 par charles ingals

[Berfizan]

Merci

 

Je vais suivre vos conseils ( oui j'avais vu pour les mises à jour, j'ai préparé un CD avec le SP2 et les hotfixes ).

 

Je ne pourrais le faire que demain.

 

euh, pour mon info ou voit-on dans le rapport le W32/Rbot-ACQ ?

Modifié le 30 mai 2006 par berfizan

[Thanos]

euh, pour mon info ou voit-on dans le rapport le W32/Rbot-ACQ ?

tu peux le voir dans le rapport hijackthis à la ligne suivante=>

O4 - HKLM\..\RunServices: [strmsnmsgr] msnmsgrs.exe

 

il imite le fichier légitime msnmsgr.exe qui lui est lié à Messenger!

 

n'oublie pas: ne fais la mise à jour vers le SP2 qu'en fin de désinfection, parce qu'un internaute dont le pc est infecté à dû formater,windows ne voulant plus redémarrer après MAJ!!

Modifié le 30 mai 2006 par charles ingals

[Berfizan]

Merci

 

Ok je ne fais aucune mise à jour avant qu'il soit désinfecté

 

De toute fàçon j'ai fait un ghost de c: sur un autre disque, je pense pouvoir toujours revenir en arrière, meme en remettant les défauts.

Je fais toujours ça afin d'intervenir sur le PC de quelqu'un.

 

Je fais ça demain et je reviens.

Modifié le 30 mai 2006 par berfizan

[Berfizan]

Bonjour

 

Une question ( encore ) avant de commencer les opérations.

 

Dans la procédure à suivre, il est préconisé d'installer Antivir en MSE.

 

Dois-je désinstaller l'antivirus actuel ? ( AVG ) ?

 

J'ai l'impression que d'après le tuto je peux le laisser, ce n'est pourtant pas recommandé non ? ( 2 AV )

Modifié le 31 mai 2006 par berfizan

[Thanos]

salut berfizan

 

il faut juste penser à désinstaller Antivir (ou AVG si to considère qu'il n'a pas fait son boulot!) comme c'est précisé sur la procédure car comme tu dis, deux antivirus qui fonctionnent en même temps c'est fortement déconseillé!!

 

@bientôt et bon courage

Modifié le 31 mai 2006 par charles ingals

[Berfizan]

Bonsoir

 

J'ai suivi la procédure de désinfection

 

Ci-dessous le rapport Antivir :

 

 

AntiVir PersonalEdition Classic

Report file date: jeudi 1 juin 2006 15:19

 

 

Jobname: 'Manual Selection'

 

Scanning for 397051 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (plain) [5.1.2600]

Username: Cindy

Computer name: PCPARENTS

 

Version informations:

AVSCAN.EXE : 7.0.0.35 540712 21/04/2006 12:47:06

AVSCAN.DLL : 7.0.0.34 41000 05/04/2006 11:03:58

LUKE.DLL : 7.0.0.34 114728 05/04/2006 11:04:00

LUKERES.DLL : 7.0.0.34 25640 05/04/2006 11:04:00

ANTIVIR0.VDF : 6.32.0.60 4323840 07/03/2006 12:03:34

ANTIVIR1.VDF : 6.34.1.87 2215424 31/05/2006 06:17:48

ANTIVIR2.VDF : 6.34.1.148 146432 31/05/2006 06:17:48

ANTIVIR3.VDF : 6.34.1.169 68608 31/05/2006 06:17:48

AVEWIN32.DLL : 7.0.0.16 1229312 27/05/2006 14:17:30

AVPREF.DLL : 6.34.0.0 38440 18/01/2006 12:06:02

AVREP.DLL : 6.34.1.130 622632 31/05/2006 06:17:12

AVPACK32.DLL : 7.0.0.4 335912 29/03/2006 09:44:26

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:50

NETNW.DLL : 6.32.0.0 9768 27/09/2005 07:56:50

 

 

Start of the scan: jeudi 1 juin 2006 15:19

 

 

Start scanning boot sectors:

 

Boot sector 'C:'

[NOTE] No virus was found!

Boot sector 'D:'

[NOTE] No virus was found!

Boot sector 'E:'

[NOTE] No virus was found!

 

Starting to scan the registry.

 

The registry was scanned ( 11 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\ddos3.exe

[DETECTION] Contains suspicious code HEURISTIC/Trojan.Downloader

[iNFO] The file was deleted!

C:\ddos.exe

[DETECTION] Contains suspicious code HEURISTIC/Trojan.Downloader

[iNFO] The file was deleted!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SYSTEM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SOFTWARE

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\DEFAULT

[WARNING] The file could not be opened!

C:\WINDOWS\system32\deqq\cult.exe

[DETECTION] Contains signature of the SPR/Prcview.3725 program

[iNFO] The file was deleted!

C:\WINDOWS\system32\deqq\hosts

[DETECTION] Is the Trojan horse TR/NoAvHost.A

[iNFO] The file was deleted!

C:\WINDOWS\system32\deqq\orrl.exe

[DETECTION] Contains signature of the SPR/DaSniff program

[iNFO] The file was deleted!

C:\WINDOWS\system32\deqq\palsp.exe

[DETECTION] Contains signature of the worm WORM/Randon.AB.4

[iNFO] The file was deleted!

C:\Documents and Settings\Cindy\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\Cindy\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Cindy\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Cindy\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\System Volume Information\_restore{B214E12F-8A5A-45FD-BD03-5F53D98248FE}\RP562\A0075189.exe

[DETECTION] Contains suspicious code HEURISTIC/Trojan.Downloader

[iNFO] The file was deleted!

C:\System Volume Information\_restore{B214E12F-8A5A-45FD-BD03-5F53D98248FE}\RP562\A0075190.exe

[DETECTION] Contains suspicious code HEURISTIC/Trojan.Downloader

[iNFO] The file was deleted!

C:\System Volume Information\_restore{B214E12F-8A5A-45FD-BD03-5F53D98248FE}\RP562\A0075191.exe

[DETECTION] Contains signature of the SPR/Prcview.3725 program

[iNFO] The file was deleted!

C:\System Volume Information\_restore{B214E12F-8A5A-45FD-BD03-5F53D98248FE}\RP562\A0075192.exe

[DETECTION] Contains signature of the SPR/DaSniff program

[iNFO] The file was deleted!

C:\System Volume Information\_restore{B214E12F-8A5A-45FD-BD03-5F53D98248FE}\RP562\A0075193.exe

[DETECTION] Contains signature of the worm WORM/Randon.AB.4

[iNFO] The file was deleted!

D:\Cindy\Conneries\Post-it.exe

[DETECTION] Contains signature of the joke program JOKE/ClickWin

[iNFO] The file was deleted!

 

 

End of the scan: jeudi 1 juin 2006 15:51

Used time: 32:43 min

 

The scan has been done completely.

 

3288 Scanning directories

145695 Files were scanned

12 viruses and/or unwanted programs was found

12 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

881 Archives were scanned

20 Warnings

1 Notes

 

 

 

Le nouveau hijackthis.log

 

 

Logfile of HijackThis v1.99.1

Scan saved at 16:23:49, on 01/06/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

E:\andré\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1000annonces-gratuites.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\RunServices: [strmsnmsgr] msnmsgrs.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - (no file)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1102718615894

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE

O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

 

 

La ligne O4 - HKLM\..\RunServices: [strmsnmsgr] msnmsgrs.exe étant toujours présente, j'ai supprimé l'entrée dans la BDR manuellement et j'ai vérifié l'absence du fichier msnmsgrs.exe dans les disques durs du PC.

 

Il y a un léger mieux quant à la lenteur du PC.

 

Je viens de voir qu'il manque les drivers de la carte mère et que le disque dur tourne en PIO au lieu d'ultradma.

 

Ai-je le feu vert pour passer le SP2 et faire les mises à jour ?

 

Merci d'avance.

 

Ps : J'ai bien désinstallé Antivir mais après le rapport ci-dessus

Modifié le 1 juin 2006 par berfizan

[Thanos]

salut berfizan

 

Antivir a bien bossé! Donc si je comprends bien tu as manuellement viré le fichier msnmsgrs.exe et l'entrée dans la BDR sous la clé suivante ?=> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

 

tu aurais dû poster un rapport hijackthis après avoir fais ces manips!! mais c'est pas grave!

 

Etant donné que tu sais manipuler la base de registre, il va aussi falloir éliminer les entrées suivantes:

 

*sous la clé :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

élimine les valeurs(à droite) =>

strmsnmsgr

msnmsgrs.exe

 

*sous la clé :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

élimine les valeurs =>

strmsnmsgr

msnmsgrs.exe

 

Bon ce n'est pas tout hotbar est présent aussi! prend le temps de bien désinfecter son pc avant de mettre à jour!La suite=>

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge FxHotbar.exe sur ton bureau.

 

-Télécharge la version d'essai d'Ewido:ici :

et installe le (important: pendant l'installation, sur la page "Additional Options"

décoche les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.Ne scanne pas le pc maintenant,ferme le programme!

 

Étape 1:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 2:

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O4 - HKLM\..\RunServices: [strmsnmsgr] msnmsgrs.exe => cette ligne a bien sûr disparue si tu as éliminé les entrées dans la bdr!!

 

O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - (no file)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 3:

 

* Lance FxHotbar.exe et suis les instructions. Elimine le tool une fois le travail fini.

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Cookies

Temporary Internet Files

Prefetch

Java Cache

Recycle Bin

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Si tu utilises Firefox:

 

ouvre Firefox=>menu Outils=>Options=> Vie Privée=> Cookies=>clique sur le bouton "Supprimer les cookies".

 

Étape 4:

 

* Lance Ewido et clique sur "scanner" puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...)

 

Étape 5:

 

* Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification ainsi que le rapport d'Ewido .Si tu en as le courage ,fais un scan en ligne ici =>

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

après ca, ca devrait être bon

[Berfizan]

bonjour et merci de cette réponse

 

Concernant le fichier msnmsgrs.exe ,je ne l'ai pas trouvé sur les HD, seules étaient présentes les entrées dans la BDR ( Dans Run et RunServices )

 

Et Antivir ne l'a pas vu non plus.

 

Un souci, le lien vers Fxhotbar ne fonctionne pas, je ne trouve pas d'autre source via google.( Avec mon mauvais anglais , je crois avoir compris chez Symantec qu'ils ne le considèraient plus comme un adware après discussions avec "l'éditeur", à vérifier )

Modifié le 2 juin 2006 par berfizan