pb restauration Task Manager

[Pandore]

Bonjour,

 

J'aurais svp besoin d'un petit coup de main pour interpréter le rapport Hijack ci-dessous.

Mon pc a été infecté par plusieurs virus et spyware divers.... résultat, mon Task Manager ne contient plus que le gestionnaire d'application, plus de gestionnaire de process ni d'utilisation cpu...

 

J'ai déjà suivi la procédure de nettoyage complète décrite là ----> http://www.zebulon.fr/articles/desinfecter-windows-1.php

 

Voici le rapport Hijack obtenu après ce nettoyage :

 

Logfile of HijackThis v1.99.1

Scan saved at 19:54:40, on 23/06/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe

C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Pandore\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [s3Hotkey] s3hotkey.exe

O4 - HKLM\..\Run: [s3TRAY2] S3Tray2.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\EMT3\TMESRV31.EXE /Logon

O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\EMT3\TMERzCtl.EXE /Service

O4 - HKLM\..\Run: [TMEEJME.EXE] C:\Program Files\TOSHIBA\EMT3\TMEEJME.EXE

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Program Files\TOSHIBA\EMT3\TMESBS32.EXE /Client

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 02

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [ÿ_zskvibykg_`oxkcgfou40inkrwksz_] c:\windows\system32\_zskwrkni04uofgckxo`_gkybiv.exe

O4 - HKLM\..\Run: [Easy PDF Creator] C:\Program Files\Easy PDF Creator\EasyPDFCreator.exe

O4 - HKLM\..\RunServices: [ÿ_zskvibykg_`oxkcgfou40inkrwksz_] c:\windows\system32\_zskwrkni04uofgckxo`_gkybiv.exe

O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [ÿ_zskvibykg_`oxkcgfou40inkrwksz_] c:\windows\system32\_zskwrkni04uofgckxo`_gkybiv.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1133096878397

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F6F1DA8-97E3-4C1A-908E-DABF47A4247A}: NameServer = 85.255.113.125,85.255.112.26

O17 - HKLM\System\CCS\Services\Tcpip\..\{7B7ADA96-8135-46B6-837A-20FC421D348C}: NameServer = 85.255.113.125,85.255.112.26

O17 - HKLM\System\CCS\Services\Tcpip\..\{A9CA9F06-57C1-4B52-99B8-19A150047B4B}: NameServer = 85.255.113.125,85.255.112.26

O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5FD96A-2F6F-4E85-8836-2B75E07F75BB}: NameServer = 85.255.113.125,85.255.112.26

O17 - HKLM\System\CCS\Services\Tcpip\..\{F497A4B2-E342-43BE-B2F2-EFADC53A0BA6}: NameServer = 85.255.113.125,85.255.112.26

O17 - HKLM\System\CS1\Services\Tcpip\..\{0F6F1DA8-97E3-4C1A-908E-DABF47A4247A}: NameServer = 85.255.113.125,85.255.112.26

O17 - HKLM\System\CS2\Services\Tcpip\..\{0F6F1DA8-97E3-4C1A-908E-DABF47A4247A}: NameServer = 85.255.113.125,85.255.112.26

O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\

O21 - SSODL: AVG7Uninstall - {0036B11B-2D98-4904-DE86-E094CD405736} - (no file)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: nvsec(nvsec) (NvSec) - Unknown owner - C:\WINDOWS\system32\nvsec.exe (file missing)

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)

O23 - Service: Tmesbs32 (Tmesbs) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesbs32.exe" /Service (file missing)

O23 - Service: Tmesrv3 (Tmesrv) - Unknown owner - C:\Program Files\TOSHIBA\EMT3\Tmesrv31.exe" /Service (file missing)

 

 

UN ENORME MERCI d'avance pour votre aide.... pcq je commence à m'arracher les cheveux là...

[Malekal_morte]

Bonjour,

 

Commence par installer un firewall sur ton ordinateur ZoneAlarm.

Ta machine n'est pas à jour et non protégée

 

Installe le service pack 2 pour Windows XP et mettre ton ordinateur à jour à partir de Windows Update (Outils / Windows Updates dans Internet Explorer) - ceci afin de corriger des bugs et être mieux protégé. C'est important !

 

 

Je te fais suivre les manips, mais il est important que tu fasses déjà ceci.

Modifié le 23 juin 2006 par Malekal_morte

[Pandore]

J'ai oublié de préciser que la restauration du Task Manager via Zeb-restore n'a pas fonctionnée

[Malekal_morte]

Voici la manipulation à effectuer en entier

Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

 

- Menu Démarrer / executer et tape SC delete nvsec

- Menu Démarrer / executer et tape SC delete r_server

- Menu Démarrer / executer et tape SC delete Tmesbs

- Menu Démarrer / executer et tape SC delete Tmesrv

 

Sur HijackThis, refais un scan et coches les lignes suivantes :

 

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O4 - HKLM\..\Run: [ÿ_zskvibykg_`oxkcgfou40inkrwksz_] c:\windows\system32\_zskwrkni04uofgckxo`_gkybiv.exe

O4 - HKLM\..\RunServices: [ÿ_zskvibykg_`oxkcgfou40inkrwksz_] c:\windows\system32\_zskwrkni04uofgckxo`_gkybiv.exe

O4 - HKCU\..\Run: [ÿ_zskvibykg_`oxkcgfou40inkrwksz_] c:\windows\system32\_zskwrkni04uofgckxo`_gkybiv.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F6F1DA8-97E3-4C1A-908E-DABF47A4247A}: NameServer = 85.255.113.125,85.255.112.26

O17 - HKLM\System\CCS\Services\Tcpip\..\{7B7ADA96-8135-46B6-837A-20FC421D348C}: NameServer = 85.255.113.125,85.255.112.26

O17 - HKLM\System\CCS\Services\Tcpip\..\{A9CA9F06-57C1-4B52-99B8-19A150047B4B}: NameServer = 85.255.113.125,85.255.112.26

O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5FD96A-2F6F-4E85-8836-2B75E07F75BB}: NameServer = 85.255.113.125,85.255.112.26

O17 - HKLM\System\CCS\Services\Tcpip\..\{F497A4B2-E342-43BE-B2F2-EFADC53A0BA6}: NameServer = 85.255.113.125,85.255.112.26

O17 - HKLM\System\CS1\Services\Tcpip\..\{0F6F1DA8-97E3-4C1A-908E-DABF47A4247A}: NameServer = 85.255.113.125,85.255.112.26

O17 - HKLM\System\CS2\Services\Tcpip\..\{0F6F1DA8-97E3-4C1A-908E-DABF47A4247A}: NameServer = 85.255.113.125,85.255.112.26

O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\

O21 - SSODL: AVG7Uninstall - {0036B11B-2D98-4904-DE86-E094CD405736} - (no file)

 

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HijackThis

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

- Télécharge et installe ewido

- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'Aide ewido pour tout problème.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

-- Ensuite, navigue dans tes dossiers pour supprimes les dossiers, si existants :

 

c:\windows\system32\_zskwrkni04uofgckxo`_gkybiv.exe

 

- Démarre ewido et clique "Complete System Scan"

- Laisse le scan se faire et touche à rien, s'il te propose de supprimer des malwares, dis oui, quand le scan est terminé, clique sur "Save Report" pour enregistrer le rapport et colle le ici

N'hésite pas à consulter l'Aide ewido pour tout problème.

- Tu peux consulter l'Aide ewido

 

-- Redémarre en mode normal

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

- ewido

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HijackThis

 

 

Pour ton problème d'accès au gestionnaire de tâches, essaye ça :

- Démarrar / executer / regedit

- Déroulez à gauche l'arborescence HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- A droite double clic sur la clef DisableTaskMgr et lui assigner la valeur 0

- valide et reboot

Modifié le 23 juin 2006 par Malekal_morte

[Pandore]

ok merci... ben j'ai pas installé le SP2 pcq la dernière fois que j'ai voulu le faire sur mon 2ème pc... ça a planté.. j'ai eu plein de bugs après et j'ai gagné un format du hd et une reinstall windows

et pour le firewall... ben j'en ressentais pas le besoin vu que je suis derrière un routeur en nat.

Mais ok je vais le faire.