cherche aide pas à pas pour eliminer un virus

cherche aide pas à pas pour eliminer un virus - Sécurité - Windows & Software

Marsh Posté le 15-11-2006 à 03:37:22    

Salut les noctambules,
Je cherche qqn de patient et de pedagogue pour m'aider à me débarasser d'un virus.
Mon ordi est archi lent, des pubs type drivecleaner, freeware, email icon et autres casinos suisses s'ouvrent en cascade.
Merci d'avance

Reply

Marsh Posté le 15-11-2006 à 03:37:22   

Reply

Marsh Posté le 15-11-2006 à 07:32:18    

Teste toi déjà pour voir si tu es patiente :
http://forum.hardware.fr/hardwaref [...] 1265-1.htm

Reply

Marsh Posté le 15-11-2006 à 11:50:05    


Déjà fait !  
Blonde, mais foncé...
Après lecture toute la nuit des questions/réponses sur le forum je préfère la prudence tout simplement. Pas calée du tout dans le domaine. Cherche donc toujours un coup de main...
Merci !

Reply

Marsh Posté le 15-11-2006 à 12:59:59    

Tout est dans le topic en question. Après, tout ce qui n'y est pas, c'est du cas par cas. Si tu as un virus, un antivirus sera apte à le détecter. Si il n'arrive pas à le nettoyer, tu trouveras très souvent sur les sites des grands éditeurs antivirus (symantec et mcafee en tête) des fiches de nettoyage manuel du virus.

Reply

Marsh Posté le 15-11-2006 à 13:44:41    

Ignorance de débutante pour le multipost. Sorry !
Merci de ne pas m'en tenir rigueur.
 
Voici le log de HijackThis pour plus de précisions :
 
Logfile of HijackThis v1.99.1
Scan saved at 12:34:27, on 15/11/2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\FTRTSVC.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\desk95.exe
C:\WINNT\system32\atiptaxx.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINNT\Temp\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\rundll32.exe
C:\kybrdff_e45.exe
C:\WINNT\logon.exe
C:\WINNT\logon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINNT\system32\internat.exe
C:\Program Files\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINNT\System32\ALERTM~1\ALERTM~1.EXE
C:\WINNT\system32\wuauclt.exe
C:\WINNT\explorer.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\nous\Local Settings\Temp\wzc3c2\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll
O2 - BHO: (no name) - {9B7D7BBE-BD51-93D9-79E7-BC9EF86102CC} - C:\WINNT\system32\cvavk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HydarVisionDesktopManager] desk95.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\WINNT\Temp\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [IpWins] C:\Program Files\ipwins\ipwins.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e45.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e45.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [ntdll.dll] C:\WINNT\logon.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINNT\logon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\RunOnce: [AAW] "C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [EPSON Stylus Photo R300 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /M "Stylus Photo R300" /EF "HKCU"
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe
O4 - Global Startup: EPSON CardMonitor.lnk = C:\Program Files\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00330010-0000-0000-0000-000020160010} - http://207.234.185.217/ABoxInst_int25.exe
O16 - DPF: {00330010-0000-0000-0000-000020160026} - http://207.234.185.217/installer/ABoxInst_int26.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 1419023000
O16 - DPF: {68A2C3BD-7809-11D3-8ACF-0050046F2F9A} (AXELPlayer Class) - http://www.tiji.tv/programmes/sauv [...] r15109.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://paris.ville.orange.fr/CO/ac [...] ontrol.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.co [...] all_fr.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINNT\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
 

Reply

Marsh Posté le 15-11-2006 à 15:00:14    

Pas encore eu le temps de tout lire, mais pour le moment, vire ça de suite :
 
C:\kybrdff_e45.exe
 
Tu as aussi un analyseur automatique de logs Hijackthis ici :
 
http://www.hijackthis.de/fr
 
Attention à pas forcément supprimer tout ce qu'il te dit, c'est jamais qu'un truc automatique.


Message édité par Profil supprimé le 15-11-2006 à 15:03:04
Reply

Marsh Posté le 15-11-2006 à 15:54:10    

Merci de m'indiquer comment virer kybrdff_e45.exe. C'est quoi ?

Reply

Marsh Posté le 15-11-2006 à 15:57:44    

as tu effacé ou non le fichier ?


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 15-11-2006 à 16:39:27    

J'ai essayé de le supprimer, réponse : impossible de supprimer, le fichier source est peut être en cours d'utilisation.
Ai fait l'analyse sur HijackThis, la liste est longue... le fichier y figure.
 

Reply

Marsh Posté le 15-11-2006 à 16:54:08    

essaye de mettre un scan au demarrage , dans hijackthis vous le definissez comme fichier cible > redemerrage et supression ... :)


---------------
http://www.deezer.com/track/1115801 Qu'est ce que la vie ? :(
Reply

Marsh Posté le 15-11-2006 à 16:54:08   

Reply

Marsh Posté le 15-11-2006 à 17:04:18    

Tous les inconnus et le méchants figurant sur la liste :
 
 
  C:\WINNT\System32\FTRTSVC.exe  
   
Inconnu   Tâche en cours. (FTRTSVC.exe)
 
 
  Tâche inconnue.
  C:\kybrdff_e45.exe  
   
Inconnu   Tâche en cours. (kybrdff_e45.exe)
 
 
  Tâche inconnue.
  C:\WINNT\logon.exe  
   
Inconnu   Tâche en cours. (logon.exe)
Automatic logon feature of Customizer 2000 - "a special utility which is designed to optimize Win9x/ME performance. The program lets you explore the many hidden settings in Windows, and make changes"  
 
  Tâche inconnue.
  C:\WINNT\logon.exe  
   
Inconnu   Tâche en cours. (logon.exe)
Automatic logon feature of Customizer 2000 - "a special utility which is designed to optimize Win9x/ME performance. The program lets you explore the many hidden settings in Windows, and make changes"  
 
  Tâche inconnue.
  C:\PROGRA~1\Wanadoo\TaskBarIcon.exe  
   
Inconnu   Tâche en cours. (TaskBarIcon.exe)
 
 
  Tâche inconnue.
  C:\PROGRA~1\Wanadoo\Toaster.exe  
   
Inconnu   Tâche en cours. (Toaster.exe)
 
 
  Tâche inconnue.
  C:\PROGRA~1\Wanadoo\Inactivity.exe  
   
Inconnu   Tâche en cours. (Inactivity.exe)
 
 
  Tâche inconnue.
  C:\PROGRA~1\Wanadoo\PollingModule.exe  
   
Inconnu   Tâche en cours. (PollingModule.exe)
 
 
  Tâche inconnue.
  C:\WINNT\System32\ALERTM~1\ALERTM~1.EXE  
   
Inconnu   Tâche en cours. (ALERTM~1.EXE)
 
 
  Tâche inconnue.
  R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)      
Méchant   This entry was classified from our visitors as bad.
 
  Click on the stars and look at the comments from our visitors, to see, why the entry was classified in such a way.
  R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)      
Eventuellement méchant   Il vaudrait mieux effacer cette inscription si aucun programme (connu) n’est mentionné.
 
  Il vaudrait mieux effacer cette inscription si aucun programme (connu) n’est mentionné dans le message d’erreur.
  O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll      
Méchant   Risque d'inscription dangereuse. Ce programme ([4A2AACF3-ADF6-11D5-98A9-00E018981B9E] - Treffer: 4A2AACF3-ADF6-11D5-98A9-00E018981B9E) a été identifié comme étant non dangereux. Taux de précision: 100,00%
 
  Effacer à tout prix !
  O2 - BHO: (no name) - {9B7D7BBE-BD51-93D9-79E7-BC9EF86102CC} - C:\WINNT\system32\cvavk.dll      
Inconnu   Risque d'inscription dangereuse. Ce programme ([9B7D7BBE-BD51-93D9-79E7-BC9EF86102CC] - Treffer: ) a été identifié comme étant non dangereux. Taux de précision: 0,00%
 
  Programme inconnu.
  O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O4 - HKLM\..\Run: [IpWins] C:\Program Files\ipwins\ipwins.exe      
Méchant   This entry was classified from our visitors as bad.
 
  Click on the stars and look at the comments from our visitors, to see, why the entry was classified in such a way.
  O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s      
Méchant   New Dot Net Spyware
Taux de précision: 100,00 % (Résultats)
 
  Effacer à tout prix !
  O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e45.exe      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O4 - HKLM\..\Run: [newname] C:\\nwnmff_e45.exe      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O4 - HKLM\..\Run: [ntdll.dll] C:\WINNT\logon.exe      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O4 - HKLM\..\Run: [WinLogon] C:\WINNT\logon.exe      
Méchant   AdultBox foistware
Taux de précision: 100,00 % (Résultats)
 
  Effacer à tout prix !
  O4 - HKLM\..\RunOnce: [AAW] "C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O4 - Global Startup: EPSON CardMonitor.lnk = C:\Program Files\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)      
Inutilement   Il vaut mieux effacer les boutons ou inscriptions qui vous sont inconnus.
 
  Effacer si l’inscription 'Orange ' vous est inconnue !
Inscription superflue (car sans effet) qui peut donc être effacée !
  O10 - Hijacked Internet access by New.Net      
Méchant   This entry was classified from our visitors as bad.
 
  Click on the stars and look at the comments from our visitors, to see, why the entry was classified in such a way.
  O10 - Hijacked Internet access by New.Net      
Méchant   This entry was classified from our visitors as bad.
 
  Click on the stars and look at the comments from our visitors, to see, why the entry was classified in such a way.
  O10 - Hijacked Internet access by New.Net      
Méchant   This entry was classified from our visitors as bad.
 
  Click on the stars and look at the comments from our visitors, to see, why the entry was classified in such a way.
  O10 - Hijacked Internet access by New.Net      
Méchant   This entry was classified from our visitors as bad.
 
  Click on the stars and look at the comments from our visitors, to see, why the entry was classified in such a way.
  O10 - Hijacked Internet access by New.Net      
Méchant   This entry was classified from our visitors as bad.
 
  Click on the stars and look at the comments from our visitors, to see, why the entry was classified in such a way.
  O16 - DPF: {00330010-0000-0000-0000-000020160010} - http://207.234.185.217/ABoxInst_int25.exe      
Eventuellement méchant   Les éléments ActiveX provenant de pages inconnues doivent être effacés, surtout si l’inscription contient des mots comme 'dialer', 'casino', 'free plugin' etc.
 
  Vérifiez si vous connaissez ce site. Si tel n’est pas le cas, effacez l'inscription.
  O16 - DPF: {00330010-0000-0000-0000-000020160026} - http://207.234.185.217/installer/ABoxInst_int26.exe      
Eventuellement méchant   Les éléments ActiveX provenant de pages inconnues doivent être effacés, surtout si l’inscription contient des mots comme 'dialer', 'casino', 'free plugin' etc.
 
  Vérifiez si vous connaissez ce site. Si tel n’est pas le cas, effacez l'inscription.
  O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB      
Méchant   Cette inscription est probablement méchante.
 
  Il vaut mieux effacer cette inscription !
  O16 - DPF: {68A2C3BD-7809-11D3-8ACF-0050046F2F9A} (AXELPlayer Class) - http://www.tiji.tv/programmes/sauv [...] r15109.dll      
Eventuellement méchant   Les éléments ActiveX provenant de pages inconnues doivent être effacés, surtout si l’inscription contient des mots comme 'dialer', 'casino', 'free plugin' etc.
 
  Vérifiez si vous connaissez ce site. Si tel n’est pas le cas, effacez l'inscription.
  O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.co [...] e2006FreeI nstall_fr.cab      
Eventuellement méchant   Les éléments ActiveX provenant de pages inconnues doivent être effacés, surtout si l’inscription contient des mots comme 'dialer', 'casino', 'free plugin' etc.
 
  Vérifiez si vous connaissez ce site. Si tel n’est pas le cas, effacez l'inscription.
  O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINNT\System32\FTRTSVC.exe      
Inconnu   Ces entrées montrent tous les services qui ne sont pas de Microsoft. Souvent malware démarre comme un service système et n’est pas facile à détecter.
 
  Service inconnu. (FTRTSVC.exe)
 
Je peux suivre le conseil "effacer à tout prix" dans tous les cas ?????
 

Reply

Marsh Posté le 15-11-2006 à 17:08:46    

oui


---------------
http://www.deezer.com/track/1115801 Qu'est ce que la vie ? :(
Reply

Marsh Posté le 15-11-2006 à 17:19:41    

Comment ?

Reply

Marsh Posté le 15-11-2006 à 18:03:20    

To make a long story short :
Sauvegarde et reformatage ?

Reply

Marsh Posté le 15-11-2006 à 21:37:35    

Pas forcément mais y a du boulot. Tous les trucs indiqués par Hijackthis ne sont pas tous forcément dangereux. Le niveau de dangerosité est établi selon les appréciations d'utilisateurs et si un processus est peu connu, il pourra parfois être considéré comme douteux.
 
En rouge ce que je virerais de maniére certaine. Le reste est à confirmer/vérifier.
 

Citation :


Tous les inconnus et le méchants figurant sur la liste :
 
 
  C:\WINNT\System32\FTRTSVC.exe  
   
Inconnu   Tâche en cours. (FTRTSVC.exe)
 
 
  Tâche inconnue.
  C:\kybrdff_e45.exe  
   
Inconnu   Tâche en cours. (kybrdff_e45.exe)
 
 
  Tâche inconnue.
  C:\WINNT\logon.exe  
   
Inconnu   Tâche en cours. (logon.exe)
Automatic logon feature of Customizer 2000 - "a special utility which is designed to optimize Win9x/ME performance. The program lets you explore the many hidden settings in Windows, and make changes"  
 
  Tâche inconnue.
  C:\WINNT\logon.exe  
   
Inconnu   Tâche en cours. (logon.exe)
Automatic logon feature of Customizer 2000 - "a special utility which is designed to optimize Win9x/ME performance. The program lets you explore the many hidden settings in Windows, and make changes"  
 
  Tâche inconnue.
  C:\PROGRA~1\Wanadoo\TaskBarIcon.exe  
   
Inconnu   Tâche en cours. (TaskBarIcon.exe)
 
 
  Tâche inconnue.
  C:\PROGRA~1\Wanadoo\Toaster.exe  
   
Inconnu   Tâche en cours. (Toaster.exe)
 
 
  Tâche inconnue.
  C:\PROGRA~1\Wanadoo\Inactivity.exe  
   
Inconnu   Tâche en cours. (Inactivity.exe)
 
 
  Tâche inconnue.
  C:\PROGRA~1\Wanadoo\PollingModule.exe  
   
Inconnu   Tâche en cours. (PollingModule.exe)
 
 
  Tâche inconnue.
  C:\WINNT\System32\ALERTM~1\ALERTM~1.EXE  
   
Inconnu   Tâche en cours. (ALERTM~1.EXE)
 
 
  Tâche inconnue.
 R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)      
Méchant   This entry was classified from our visitors as bad.

 
  Click on the stars and look at the comments from our visitors, to see, why the entry was classified in such a way.
  R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)      
Eventuellement méchant   Il vaudrait mieux effacer cette inscription si aucun programme (connu) n’est mentionné.
 
  Il vaudrait mieux effacer cette inscription si aucun programme (connu) n’est mentionné dans le message d’erreur.
  O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll      
Méchant   Risque d'inscription dangereuse. Ce programme ([4A2AACF3-ADF6-11D5-98A9-00E018981B9E] - Treffer: 4A2AACF3-ADF6-11D5-98A9-00E018981B9E) a été identifié comme étant non dangereux. Taux de précision: 100,00%

 
  Effacer à tout prix !
  O2 - BHO: (no name) - {9B7D7BBE-BD51-93D9-79E7-BC9EF86102CC} - C:\WINNT\system32\cvavk.dll      
Inconnu   Risque d'inscription dangereuse. Ce programme ([9B7D7BBE-BD51-93D9-79E7-BC9EF86102CC] - Treffer: ) a été identifié comme étant non dangereux. Taux de précision: 0,00%
 
  Programme inconnu.
 O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
 O4 - HKLM\..\Run: [IpWins] C:\Program Files\ipwins\ipwins.exe      
Méchant   This entry was classified from our visitors as bad.

 
  Click on the stars and look at the comments from our visitors, to see, why the entry was classified in such a way.
 O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s      
Méchant   New Dot Net Spyware

Taux de précision: 100,00 % (Résultats)
 
  Effacer à tout prix !
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e45.exe      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
 Programme inconnu.
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e45.exe      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O4 - HKLM\..\Run: [ntdll.dll] C:\WINNT\logon.exe      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O4 - HKLM\..\Run: [WinLogon] C:\WINNT\logon.exe      
Méchant   AdultBox foistware
Taux de précision: 100,00 % (Résultats)
 
  Effacer à tout prix !
  O4 - HKLM\..\RunOnce: [AAW] "C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
 O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O4 - Global Startup: EPSON CardMonitor.lnk = C:\Program Files\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe      
Inconnu    
Taux de précision: 0,00 % (Résultats)
 
  Programme inconnu.
  O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)      
Inutilement   Il vaut mieux effacer les boutons ou inscriptions qui vous sont inconnus.
 
  Effacer si l’inscription 'Orange ' vous est inconnue !
Inscription superflue (car sans effet) qui peut donc être effacée !
  O10 - Hijacked Internet access by New.Net      
Méchant   This entry was classified from our visitors as bad.
 
  Click on the stars and look at the comments from our visitors, to see, why the entry was classified in such a way.
  O10 - Hijacked Internet access by New.Net      
Méchant   This entry was classified from our visitors as bad.
 
  Click on the stars and look at the comments from our visitors, to see, why the entry was classified in such a way.
  O10 - Hijacked Internet access by New.Net      
Méchant   This entry was classified from our visitors as bad.
 
  Click on the stars and look at the comments from our visitors, to see, why the entry was classified in such a way.
  O10 - Hijacked Internet access by New.Net      
Méchant   This entry was classified from our visitors as bad.
 
  Click on the stars and look at the comments from our visitors, to see, why the entry was classified in such a way.
  O10 - Hijacked Internet access by New.Net      
Méchant   This entry was classified from our visitors as bad.
 
  Click on the stars and look at the comments from our visitors, to see, why the entry was classified in such a way.
  O16 - DPF: {00330010-0000-0000-0000-000020160010} - http://207.234.185.217/ABoxInst_int25.exe      
Eventuellement méchant   Les éléments ActiveX provenant de pages inconnues doivent être effacés, surtout si l’inscription contient des mots comme 'dialer', 'casino', 'free plugin' etc.

 
  Vérifiez si vous connaissez ce site. Si tel n’est pas le cas, effacez l'inscription.
  O16 - DPF: {00330010-0000-0000-0000-000020160026} - http://207.234.185.217/installer/ABoxInst_int26.exe      
Eventuellement méchant   Les éléments ActiveX provenant de pages inconnues doivent être effacés, surtout si l’inscription contient des mots comme 'dialer', 'casino', 'free plugin' etc.

 
  Vérifiez si vous connaissez ce site. Si tel n’est pas le cas, effacez l'inscription.
 O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB      
Méchant   Cette inscription est probablement méchante.

 
  Il vaut mieux effacer cette inscription !
  O16 - DPF: {68A2C3BD-7809-11D3-8ACF-0050046F2F9A} (AXELPlayer Class) - http://www.tiji.tv/programmes/sauv [...] r15109.dll      
Eventuellement méchant   Les éléments ActiveX provenant de pages inconnues doivent être effacés, surtout si l’inscription contient des mots comme 'dialer', 'casino', 'free plugin' etc.
 
  Vérifiez si vous connaissez ce site. Si tel n’est pas le cas, effacez l'inscription.
  O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.co [...] e2006FreeI nstall_fr.cab      
Eventuellement méchant   Les éléments ActiveX provenant de pages inconnues doivent être effacés, surtout si l’inscription contient des mots comme 'dialer', 'casino', 'free plugin' etc.
 
  Vérifiez si vous connaissez ce site. Si tel n’est pas le cas, effacez l'inscription.
  O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINNT\System32\FTRTSVC.exe      
Inconnu   Ces entrées montrent tous les services qui ne sont pas de Microsoft. Souvent malware démarre comme un service système et n’est pas facile à détecter.
 
  Service inconnu. (FTRTSVC.exe)


 
Le truc de FT est à priori obsolète mais pas dangereux. Des gens plus experts que moi en terme de processus pourront t'en dire plus, y a sans doute d'autres process à virer. J'ai un gros doute sur le logon.exe aussi, il a rien à faire là je crois.


Message édité par Profil supprimé le 15-11-2006 à 21:45:19
Reply

Marsh Posté le 15-11-2006 à 22:40:49    

Des progrès ! Et un peu de vitesse...
 
Subsistent :
 
  O4 - HKLM\..\Run: [WinLogon] C:\WINNT\logon.exe    
Méchant   AdultBox foistware
Taux de précision: 100,00 % (Résultats)
   Effacer à tout prix !  
  O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s    
Méchant   New Dot Net Spyware
Taux de précision: 100,00 % (Résultats)
   Effacer à tout prix !  
 
et les Hijacked New net
 
lspfix ou spybot ? Je ne connais ni l'un ni l'autre...
 
Merci !

Reply

Marsh Posté le 16-11-2006 à 01:23:03    

Prends Spybot et Ad Aware, téléchargés à partir de gros sites (Clubic etc...) pour être sûre de pas tomber sur une version vérolée. Faut faire gaffe avec ce genre de logiciels et pas télécharger n'importe quoi qui commence par "Spyware...", il y a un vrai marché de la paranoïa là dessus. Et donc des arnaqueurs, faux logiciels payants, etc... Spybot on sait que c'est bien, que ça marche, alors prens celui là dans un premier temps.
 
Les antispywares et autres antivirus que tu as ne disent rien à propos de ce logon.exe douteux ?
 
Sinon pour une bonne protection : des habitudes de surf correctes, Spybot et/ou Ad Aware, Antivirus et Firewall. Plus un logiciel pour nettoyer base de registres et autres fichiers temporaires de temps en temps. Avec ça tu devrais être tranquille une fois que tu auras éliminé ton problème actuel.
 
Perso j'utilise la combinaison BitDefender (Antivirus+Firewall), Spybot (Spywares et marketing agressif) et CCleaner (nettoyage, gratuit).


Message édité par Profil supprimé le 16-11-2006 à 01:32:06
Reply

Marsh Posté le 16-11-2006 à 02:35:20    

J'ai les 2 : Spybot (depuis ce soir) et Ad Aware. Sauf que je ne dois pas être super au point sur les réglages du dernier...
Rafales toutes les 2-3 minutes de popups, en particulier Drive Cleaner.
Je m'occuperai de Ccleaner demain.
 
Reste un dernier résistant : logon.exe  
Une idée géniale ?
 
Ai téléchargé spfix mais il ne se passe rien ou presque, j'ai juste droit aux félicitations pour mon système si clean. J'ai dû louper un coche.
 
Ne crions pas victoire trop tôt mais en tout cas :
 
Merci mille fois pour le gros coup de main !  
 
 

Reply

Marsh Posté le 16-11-2006 à 05:48:25    

télécharge copyclock
http://www.trad-fr.com/Fiches/fiche_CopyLock.htm
 
décompresse l'ensemble dans un fichier de ton choix, ouvre le programme et ajoute manuellement logon.exe ( C:\WINNT\logon.exe il me semble )  à la liste des fichiers à supprimer.
 
applique, redémarre, il est plus là


Message édité par Profil supprimé le 16-11-2006 à 05:49:26
Reply

Marsh Posté le 16-11-2006 à 09:12:31    

Bon apparemment tu peux dégager le logon.exe sans inquiétudes. Donc procédure habituelle : redémarrage en mode sans échec, un coup d'Hijackthis, coches les lignes correspondantes à logon.exe puis "fix checked". Même chose avec la dll signalée "new dot net".
 
Si besoin, utilise le logiciel indiqué par Re Lacks pour supprimer les fichiers qui seraient indiqués comme en cours d'utilisation.
 
Redémarre normalement, regarde ce que ça donne.

Reply

Marsh Posté le 16-11-2006 à 11:46:06    

Exit logon.exe. Merci Re Lacks !
Tout roule sauf les popups (Drivecleaner toujourset autres) qui arrivent instantanément quand je j'allume l'ordi...
 
Encore merci a vous tous

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed