Je Craque !!! Aidez Moi svp !

nikos00013 · le 18 juin 2006

ok, c'est gentil !!!!

je reprends contact en fin d'aprem car fete des peres oblige, repas de famille !!!

merci encore, et à plus tard !!!

bruce lee · le 18 juin 2006

re,

1/Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/en/download/

Installe et mets à jour.

Important: Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".

Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme.

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

3/

demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

WhenUSave/Save

si ce programme est present desinstalle le.

4/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

O2 - BHO: (no name) - {A268D986-9F68-4461-9FE9-8438B6612059} - C:\WINDOWS\system32\awtqn.dll (file missing)

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - HKCU\..\Run: [8d9f545.exe] C:\Documents and Settings\Nikos\Local Settings\Application Data\8d9f545.exe

O4 - HKCU\..\Run: [Wnyz] C:\PROGRA~1\COMMON~1\WNSXS~1\SCHOST~1.EXE

O20 - AppInit_DLLs: C:\WINDOWS\system32\rundll32.dll

O20 - Winlogon Notify: winwly32 - winwly32.dll (file missing)

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

6/supprime ce qui est en gras:

C:\Program Files\ Save<== tout le dossier

C:\program files\COMMON~1\ WNSXS~1<== tout le dossier qui commence par WNSXS

C:\Documents and Settings\Nikos\Local Settings\Application Data\ 8d9f545.exe<== le fichier

C:\WINDOWS\system32\ rundll32.dll<== le fichier

7/Relance Ewido et clique sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

8/redemarre en mode normal

9/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.

bon courage, et si tu as la moindre question n'hesite surtout pas

@+

EDIT:

je reprends contact en fin d'aprem car fete des peres oblige, repas de famille !!!

Moi aussi ca sera repas de famille a ce soir

Modifié le 18 juin 2006 par bruce lee

nikos00013 · le 18 juin 2006

bon, ça y est me revoilou, de retour de famille, toujours lourd à digérer!!!!!

Bon, j'ai fait ce que tu m'as demandé, mais apparemment, certaines lignes n'étaient pas sur hijack et le dossier save n'était pas présent non plus.

J'ai effectué Ewidoo et un autre rapport hijack, les voici :

RAPPORT EWIDOO :

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

+ Créé le: 20:34:36, 18/06/2006

+ Somme de contrôle: 19D0CA9B

+ Résultats du scan:

HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Nettoyer et sauvegarder

HKLM\SOFTWARE\WhenUSave -> Adware.SaveNow : Nettoyer et sauvegarder

HKLM\SOFTWARE\WhenUSave\Partners -> Adware.SaveNow : Nettoyer et sauvegarder

HKLM\SOFTWARE\WhenUSave\Partners\EDON -> Adware.SaveNow : Nettoyer et sauvegarder

:mozilla.21:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Valueclick : Nettoyer et sauvegarder

:mozilla.22:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Valueclick : Nettoyer et sauvegarder

:mozilla.24:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

:mozilla.25:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

:mozilla.44:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyer et sauvegarder

:mozilla.45:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyer et sauvegarder

:mozilla.46:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyer et sauvegarder

:mozilla.47:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

:mozilla.48:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

:mozilla.58:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

:mozilla.88:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.89:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.90:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.104:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

:mozilla.115:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder

:mozilla.128:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder

:mozilla.129:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder

:mozilla.131:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

:mozilla.134:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Onestat : Nettoyer et sauvegarder

:mozilla.135:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Onestat : Nettoyer et sauvegarder

:mozilla.136:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Onestat : Nettoyer et sauvegarder

:mozilla.146:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Statcounter : Nettoyer et sauvegarder

:mozilla.157:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Com : Nettoyer et sauvegarder

:mozilla.160:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder

:mozilla.161:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder

:mozilla.162:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder

:mozilla.163:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.164:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyer et sauvegarder

:mozilla.165:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyer et sauvegarder

:mozilla.166:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyer et sauvegarder

:mozilla.167:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

:mozilla.168:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

:mozilla.169:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

:mozilla.178:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.179:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.180:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.181:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.182:C:\Documents and Settings\Nikos\Application Data\Mozilla\Firefox\Profiles\nc3syjs9.default\cookies.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

C:\Documents and Settings\Nikos\Cookies\nikos@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder

C:\Documents and Settings\Nikos\Cookies\nikos@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder

C:\Documents and Settings\Nikos\Cookies\nikos@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

C:\Documents and Settings\Nikos\Cookies\nikos@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\Nikos\Cookies\nikos@zedo[1].txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

C:\Documents and Settings\Nikos\Local Settings\Temporary Internet Files\Content.IE5\05EZ41AZ\YazzleActiveX[1].cab/YazzleActiveX.ocx -> Adware.MediaTickets : Nettoyer et sauvegarder

C:\Documents and Settings\Nikos\Local Settings\Temporary Internet Files\Content.IE5\0PER056R\mulbin32[1].exe -> Hijacker.Small : Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-436374069-573735546-682003330-500\Dc1.dll -> Adware.PurityScan : Nettoyer et sauvegarder

C:\WINDOWS\system32\byxvwts.dll -> Adware.Virtumonde : Nettoyer et sauvegarder

C:\WINDOWS\system32\oins.exe -> Dropper.Small : Nettoyer et sauvegarder

C:\WINDOWS\Temp\ddl19.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder

C:\WINDOWS\Temp\ddl1D.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder

::Fin du rapport

ET LE RAPPORT HIJACJTHIS :

Logfile of HijackThis v1.99.1

Scan saved at 20:35:44, on 18/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HIJACK THIS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray

O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Voilou, voilou, à ton tour !!!!! lol

bruce lee · le 18 juin 2006

re,

bon, ça y est me revoilou, de retour de famille, toujours lourd à digérer!!!!!

avec hijackthis coche et fixe cette ligne:

R3 - Default URLSearchHook is missing

Ensuite repost un log en mode normal s'il te plait

Voilou, voilou, à ton tour !!!!! lol

maintenant c'est le tiens :-P

nikos00013 · le 18 juin 2006

alors, jai fixé la ligne demandée, et je te poste le log...

Juste un ou deux trucs, antivir me détecte toujours un fichier nommé "A0009043.exe" ?????

Et sur le bureau jai toujours une icone avec un bouclier qui est apparue lors de l'infection intitulée "Security Troubleshooting"""", quesaco ???

LE LOG DE HIJACK :

Logfile of HijackThis v1.99.1

Scan saved at 21:54:52, on 18/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\ATI-CPanel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe

C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\system32\slserv.exe