Problèmes Spywares...

Problèmes Spywares... - Sécurité - Windows & Software

Marsh Posté le 28-04-2005 à 15:31:03    

Salut tout le monde .
Je sais que le problème a déjà été posé plusieurs fois mais ça ne m'a pas vraiment aider , donc je  retante ^^
 
Voilà j'ai Norton Antivirus 2004 ( Mis à jour ) Ad-Aware ( Mis à jour ) Spybot ( Mis à jour ) et Pestpatrol ( Mis à jour ) .
J'ai plein de spywares qui s'installent sur mon PC , j'ai même 2 icones sur mon bureau " Virus hunter security " et " Spyware Avenger " . Je pense en avoir plein d'autre parce que j'ai plein de processus cheloux du type lpzxcz324532... ou encore qftjyw.exe .
Ca a même changé ma page de démarrage sur Internet Explorer ( pour un truc de recherches bizarre )
Bref les symptômes habituels , quoi .
 
Lorsque je scan mon PC et que je vire TOUT ce que trouve ces loigiciels , la plupart disparaissent ( les 2 icones sur le bureau disparaissent ) mais par exemple la page de démarrage est toujours la même . De plus , les deux icones du bureau finissent par revenir ...
 
S'il vous plaît , qu'est ce que je dois faire pour ne pas qu'ils reviennent ces ****** de spywares et comment me protéger éfficacement dorénavant ( Maintenant j'utilise Firefox )  
 
 
Merci !!!!!!!

Reply

Marsh Posté le 28-04-2005 à 15:31:03   

Reply

Marsh Posté le 28-04-2005 à 15:35:44    

Alors déjà fait tes scans en mode sans échec (appuie sur F8 au démarrage). Tu aura beaucoup plus de chance de les enlever ! Ensuite j'ai pu remarquer que Norton, bien qu'il détecte les spywares avait beaucoup de mal à les enlever (donc inutile de continuer de scanner avec lui).
 
Utilise donc plutot Ad-Aware + Microsoft Antispy (http://www.microsoft.com/athome/ security/spyware/software/default.mspx)


Message édité par mastermatt29 le 28-04-2005 à 15:36:55

---------------
La connaissance se doit d'être partagée...
Reply

Marsh Posté le 28-04-2005 à 15:36:00    

Ragnarock a écrit :

Lorsque je scan mon PC et que je vire TOUT ce que trouve ces loigiciels , la plupart disparaissent ( les 2 icones sur le bureau disparaissent ) mais par exemple la page de démarrage est toujours la même . De plus , les deux icones du bureau finissent par revenir ...


Antivirus en ligne: http://www.google.fr/search?source [...] +antivirus
 
Fais un scan complet en mode sans échec (F8 au démarrage) avec tous les outils que je propose dans ma signature après les avoir mis à jour.

Ragnarock a écrit :


S'il vous plaît , qu'est ce que je dois faire pour ne pas qu'ils reviennent ces ****** de spywares et comment me protéger éfficacement dorénavant ( Maintenant j'utilise Firefox )


Très bon choix... que tu aurais du faire bien plus tôt :D


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 28-04-2005 à 15:37:28    

Ok j'essayerai mais moi je veux surtout qu'ils ne reviennent pas aprés les avoir virer ^^

Reply

Marsh Posté le 28-04-2005 à 15:43:18    

Alors premièrement fais gaffe aux endroits où tu surfes et aux programmes que tu installes (tu as certainement quelque chose à améliorer à ce côté là, non?)
 
Ensuite active la protection en temps réel de Spybot, vaccine (toujours avec Spybot) et installe SpywareBlaster (cf. ma signature)
 
Avec Firefox et peut-être un firewall et un antivirus en plus, avec un minimum de prudence et de bon sens tu n'as rien à craindre.
 
Ca fait pas mal mais bon, la tranquilité est à ce prix-là :whistle:


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 28-04-2005 à 19:41:53    

Chuis dégouté ... J'ai scanné mon PC avec ces logiciels ( en mode Sans echec )
Ca m'a pris un bon bout d'temps...je reboot , reviens sur Windoz , je vois que les 2 icones ont disparues .
Au bout de 2 minutes , tout est revenu ... les 2 icones et les processus cheloux ... Ca m'énerve !
 
Norton Antivirus a trouvé 290 fichiers ( dont la plupart étaient des logiciels publicitaires et Spywares ) mais n'en a supprimé que 35 . Vous en pensez quoi ?  
 
Ah aussi ^^ mon Internet Explorer ne marche plus ( apparement IEXPLORER.EXE a été supprimé lors des scans )

Reply

Marsh Posté le 28-04-2005 à 21:20:31    

ben les conseils donnés sont tres bons, a tout hasard essaie de voir avec certains logiciels ce qui se lance au démarrage, enfin notamment le ad aware aurait du le dégager. Il est probable qu'un faut logiciel passe au travers, un grand classique c'est une copie de service.exe attention car le vrai tourne aussi mais l'un est utilisé par l'utilisateur (le faux) et l'autre par le systeme. tu t'en rends compte en faisant ctrl+alt+suppr et tu coches voir tous les utilisateurs.
 
Voila donc verifie ce qui se lance, les services aussi.. il y a de forte chance qu'un passif lance les actifs ce qui explique pourquoi cela revient sans cesse, notepad.exe est parfois vérolé aussi donc des que tu lances un fichier txt tu t'en prends plein la gueule et curieusement certains antivirus et autres passent a coté...
 
Dernier point la partion 8Mo... t'as ton joli disque dur qui n'est plus a sa capacité 100%, un bout de 8Mo a été soigenseument  mis de coté pour toutes les saloperies....
 
Enfin bon courage y'a souvent du boulot pour virer ces saloperies, en général tu choppes ca sur les sites W... on dira pas le reste ;) et sur les sites de Q. donc t'as été un vilain garcon faut te fouetter :p

Reply

Marsh Posté le 29-04-2005 à 00:25:17    

Les sites de Q ? Moi ^^ nan jamais ! (a)
Bon ben apparement ça m'a ***** ma connexion ADSL ( qui marche plus ) parce que là pour me connecter j'ai du rebrancher mon vieux 56K ...
Tragique .

Reply

Marsh Posté le 29-04-2005 à 00:48:01    

Bon j'ai retrouver mon IEXPLORE.EXE dans un dossier bizarre ( en faisant une recherche ) et ma connexion ADSL vient de remarcher . C'est déjà ça ^^

Reply

Marsh Posté le 29-04-2005 à 08:58:46    

Salut,  
 
Deja Norton est une vrai passoire, il detecte mais ne peut pas les virer ( ou est l'interet, enfin.......bref ), dc deja il faut absolument que tu ais un parefeu !!
Sinon, pour virer les mer..ouilles que tu as sur ton pc, fait un scan hijackhis et poste le sur le forum, des connaisseurs te diront ce que tu dois garder ou pas, en sachant que tu as un topic qui explique comment fonctionne hijackis !
 
fais une recherche sur google, sur le nom de la page que tu as quand tu ouvres internet, tu auras plein d'autres forums qui te diront comment les virer !
 
simbba

Reply

Marsh Posté le 29-04-2005 à 08:58:46   

Reply

Marsh Posté le 29-04-2005 à 09:29:54    

Ragnarock a écrit :

Bon j'ai retrouver mon IEXPLORE.EXE dans un dossier bizarre ( en faisant une recherche ) et ma connexion ADSL vient de remarcher . C'est déjà ça ^^


 
 :hello:  
 
1) Télécharge Hijackthis:  
 
2) Mets le fichier HijackThis.exe dans un dossier spécial, par exemple C:\HijackThis.  
Ne pas l'installer dans un répertoire temporaire afin de pouvoir récupérer les backups le cas échéant.

 
3) Double-clique sur HijackThis.exe.  
 
4) Lance l'analyse en cliquant sur "Do a system scan and save a logfile".  
 
5) Une fois l'analyse terminée,fais un copier/coller du rapport sur le forum, sans rien faire d'autre !!!

Reply

Marsh Posté le 29-04-2005 à 15:41:59    

Logfile of HijackThis v1.99.1
Scan saved at 15:39 Ragnarok, on 29/04/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ienp.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\cmd32.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\mfcjh.exe
D:\stem\steam.exe
C:\WINDOWS\System32\izxczxcr.exe
C:\Program Files\Skype\Phone\Skype.exe
D:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\windows\system32\qupidq.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.exe
D:\Hijack\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\orxna.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\orxna.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\orxna.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\orxna.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\orxna.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\orxna.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\orxna.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {32004A45-DBFC-2B7B-3989-BB5BE50D9E3A} - C:\WINDOWS\winau32.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\en-gb\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
 
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [mfcjh.exe] C:\WINDOWS\mfcjh.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [ynullyq] c:\windows\system32\qupidq.exe
O4 - HKLM\..\RunServices: [RunAlert] D:\Program Files\MSI\PC Alert III\AService.exe
O4 - HKLM\..\RunOnce: [PPClean Remove at boot] command nul /c C:\PPCleanDeleteAtReboot.bat
O4 - HKLM\..\RunOnce: [Pest Cleaning] "C:\Program Files\PestPatrol\ppclean.exe" "clean" "ts:20050428185825" "wintools" "2"
O4 - HKCU\..\Run: [Steam] "d:\stem\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AtiTrayTools] "D:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {3B1ED172-68BA-4127-8E3B-4F83297467F0} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {3B1ED172-68BA-4127-8E3B-4F83297467F0} - (no file) (HKCU)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] dge-c7.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 3492498373
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ienp.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service  (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
 
 
 
Merci beaucoup !!


Message édité par Ragnarock le 29-04-2005 à 15:48:44
Reply

Marsh Posté le 29-04-2005 à 15:57:22    

Je suis allé grace au topic " Tutoriel HijackThis " sur l'analyseur du site officiel de ce soft , j'y ai collé ce que je vous ai collé , et je trouve pas mal de trucs dits " Méchant " ( y'en a beaucoup )
Pouvez vous m'expliquer comment les supprimmer ? ( j'ai même des Trojans : à supprimer à tout prix !

Reply

Marsh Posté le 29-04-2005 à 16:11:53    

Ragnarock a écrit :

Je suis allé grace au topic " Tutoriel HijackThis " sur l'analyseur du site officiel de ce soft , j'y ai collé ce que je vous ai collé , et je trouve pas mal de trucs dits " Méchant " ( y'en a beaucoup )
Pouvez vous m'expliquer comment les supprimmer ? ( j'ai même des Trojans : à supprimer à tout prix !


 
L'analyse est en cours, patiente quelques minutes.  ;)  
 
A+

Reply

Marsh Posté le 29-04-2005 à 16:16:31    

Et bien tu coche ce qui est noté Méchant et inconnue (sauf si tu c'est ce que c'est bien sur..) tu enlève la restauration automatique du système, tu vide le fichier TEMP et tu appui sur Fix selected items. tu attend. Normalement ça t'aura déjà fixé pas mal de problème (mais surement pas tous) Remet ensuite un scan pour voir ce qui en reste...

Reply

Marsh Posté le 29-04-2005 à 16:20:42    

D'accord merci je suis entrain de voir ça avec le tuto ( trés bien fait ) ^^
J'vous tiens au courant !

Reply

Marsh Posté le 29-04-2005 à 16:21:16    

:hello:  
 
 
Télécharge About:Buster
-Lance-le et mets-le à jour et laisse le en attente (ne clique pas "Start" mais "Check for updates" )
 
Ctrl/Alt/Suppr
 
Termine les processus suivants:
 
C:\WINDOWS\system32\ienp.exe  
C:\WINDOWS\System32\cmd32.exe  
C:\WINDOWS\mfcjh.exe  
C:\WINDOWS\System32\izxczxcr.exe
c:\windows\system32\qupidq.exe  
 
 
****************************************
Arrête les services suivants:
 
Démarrer->exécuter->taper  services.msc
Double clique "System Startup Service"  
Mets-le en "désactivé" et bien sûr "arrêté"->"Appliquer".  
 
Tu fais pareil pour ce service:   Workstation NetLogon Service  
 
****************************************
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis "Do a system scan only". Coche ces lignes et clique "Fix checked".  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\orxna.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\orxna.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\orxna.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\orxna.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\orxna.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\orxna.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\orxna.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {32004A45-DBFC-2B7B-3989-BB5BE50D9E3A} - C:\WINDOWS\winau32.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)  
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile  
O4 - HKLM\..\Run: [mfcjh.exe] C:\WINDOWS\mfcjh.exe  
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] dge-c7.cab  
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ienp.exe
O23 - Service: System Startup Service  (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe  
 
****************************************
 
Redémarre en mode sans échec (en tapotant F8 au démarrage).  
Donne-toi accès aux fichiers cachés.  
(explorateur windows->outils->options des dossiers->affichage  
"Afficher les fichiers cachés"->coché  
"Masquer les extensions.."->décoché)  
 
Supprime les dossiers/fichiers en gras si présents
 
C:\WINDOWS\System32\cmd32.exe  
C:\WINDOWS\System32\izxczxcr.exe
c:\windows\system32\qupidq.exe
 
 
Toujours en mode sans echec:
 
C\temp\ <-- supprimer tout le contenu du dossier
C:\windows\temp\ <-- supprimer tout le contenu du dossier
C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\<-- supprimer tout le contenu du dossier
 
(Ne supprime pas les dossiers eux-mêmes, mais tous les fichiers contenus.)
 
IE > Outils > Options internet  
Dans le champ "Fichiers Internet Temporaires", tu cliques sur le bouton du mileu "Supprimer les fichiers".  
Tu coches la petite case "Supprimer tout le contenu hors connexion" et tu valides par Ok.  
 
Vide la corbeille
 
Lance DEUX fois de suite About:Buster ("Start" )
 
Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir:
Retourne à la fenêtre <Paramètres de dossier> et sélectionne <Ne pas afficher les fichiers cachés ou les fichiers système>.
 
Reboot en mode normal et poste un nouveau log.

Reply

Marsh Posté le 29-04-2005 à 16:34:30    

Ok je fais ça tout de suite et je reposte ici quand j'aurais fini !
Merci beaucoup Pow-wow et tous les autres !
 
( On a fait un texte d'anglais sur les Indiens d'Amérique . Une de leurs danses d'appellent le Powwow , si j'me rappelle bien ^^ )

Reply

Marsh Posté le 29-04-2005 à 17:21:24    

Voilà ce que donne HijackThis aprés avoir fait ce que m'a dit Pow-wow :
 
 
 
Logfile of HijackThis v1.99.1
Scan saved at 17:20 Ragnarok, on 29/04/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
c:\windows\system32\ctmvvm.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Hijack\HijackThis.exe
 
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {F3C0B6F7-1973-30BA-058F-4A98172DB30C} - C:\WINDOWS\d3yy32.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\en-gb\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [jjkmjh] c:\windows\system32\ctmvvm.exe
O4 - HKLM\..\RunServices: [RunAlert] D:\Program Files\MSI\PC Alert III\AService.exe
O4 - HKLM\..\RunOnce: [PPClean Remove at boot] command nul /c C:\PPCleanDeleteAtReboot.bat
O4 - HKLM\..\RunOnce: [Pest Cleaning] "C:\Program Files\PestPatrol\ppclean.exe" "clean" "ts:20050428185825" "wintools" "2"
O4 - HKCU\..\Run: [Steam] "d:\stem\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AtiTrayTools] "D:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {3B1ED172-68BA-4127-8E3B-4F83297467F0} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {3B1ED172-68BA-4127-8E3B-4F83297467F0} - (no file) (HKCU)
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 3492498373
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ienp.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe


Message édité par Ragnarock le 29-04-2005 à 17:23:39
Reply

Marsh Posté le 29-04-2005 à 17:22:41    

Ca à l'air beaucoup mieux d'aprés l'analyseur du site ! :D

Reply

Marsh Posté le 29-04-2005 à 17:40:53    


Démarrer-> exécuter-> tape:  cmd
 
Puis tape la commande suivante:  nail.exe /Babymove
 
et "Entrée", redémarre.  
 
*********************************
 
Ctrl/Alt/Suppr
 
Termine le processus suivant:
 
c:\windows\system32\ctmvvm.exe  
 
 
****************************************
 
Démarrer->exécuter->taper  services.msc
Double clique "Workstation NetLogon Service"  
Mets-le en "désactivé" et bien sûr "arrêté"->"Appliquer".    
 
****************************************
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis "Do a system scan only". Coche ces lignes et clique "Fix checked".  
 
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {F3C0B6F7-1973-30BA-058F-4A98172DB30C} - C:\WINDOWS\d3yy32.dll  
O4 - HKLM\..\Run: [jjkmjh] c:\windows\system32\ctmvvm.exe
O9 - Extra button: Microsoft AntiSpyware helper - {3B1ED172-68BA-4127-8E3B-4F83297467F0} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {3B1ED172-68BA-4127-8E3B-4F83297467F0} - (no file) (HKCU)  
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ienp.exe (file missing)  
 
****************************************
 
Redémarre en mode sans échec (en tapotant F8 au démarrage).  
Donne-toi accès aux fichiers cachés.  
(explorateur windows->outils->options des dossiers->affichage  
"Afficher les fichiers cachés"->coché  
"Masquer les extensions.."->décoché)  
 
Supprime les dossiers/fichiers en gras si présents
 
Vide la corbeille
 
Reboot en mode normal et poste un nouveau log.

Reply

Marsh Posté le 29-04-2005 à 18:26:23    

Logfile of HijackThis v1.99.1
Scan saved at 18:24 Ragnarok, on 29/04/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
D:\stem\steam.exe
C:\Program Files\Skype\Phone\Skype.exe
D:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Hijack\HijackThis.exe
 
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\en-gb\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [cimzwg] c:\windows\system32\dfmifb.exe
O4 - HKLM\..\RunServices: [RunAlert] D:\Program Files\MSI\PC Alert III\AService.exe
O4 - HKLM\..\RunOnce: [PPClean Remove at boot] command nul /c C:\PPCleanDeleteAtReboot.bat
O4 - HKLM\..\RunOnce: [Pest Cleaning] "C:\Program Files\PestPatrol\ppclean.exe" "clean" "ts:20050429174519" "wintools" "2"
O4 - HKCU\..\Run: [Steam] "d:\stem\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AtiTrayTools] "D:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 3492498373
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
 
 
 
Au fait dans les processus y'en a un qui est cheloux ( qui fait 180 Ko ) et quand je l'arrête il revient avec un nom différent ( c'est des noms bizarres , des lettres " au hasard " )

Reply

Marsh Posté le 29-04-2005 à 18:29:48    

Tiens pourtant j'ai supprimer Nail.exe...
Comme truc " Méchants " il reste :
 
Nail.exe
dfmifb.exe ( c'est celui là qui change de noms quand on l'arrête )
Les truc du genre PPclean et tout c'est un log que je connais ( PestPatrol )

Reply

Marsh Posté le 29-04-2005 à 18:39:54    

:hello:  
 
On va essayer autrement:
 
Télécharge "PocketKillBox" sur :  
http://www.downloads.subratam.org/KillBox.zip  
 
Pose-le sur ton bureau. Lance-le.  
Dans "Paste full path of file.." ->copie/colle:  C:\WINDOWS\Nail.exe  
 
Coche "delete on reboot"
 
Clique "Delete File". (La croix blanche)  
 
s'il te propose le reboot, ne l'accepte pas encore
 
Fais de même avec:  c:\windows\system32\dfmifb.exe  
 
Approuve le reboot.  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis "Do a system scan only". Coche ces lignes et clique "Fix checked".  
 
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe  
O4 - HKLM\..\Run: [cimzwg] c:\windows\system32\dfmifb.exe  
 
Reboot et poste un nouveau log
 
Il y a urgence à mettre ton système à jour (SP1, SP2)

Reply

Marsh Posté le 29-04-2005 à 18:59:36    

J'ai SP1 . Je passerai en SP2 .
 
Sinon Killbox n'a pas réussi à supprimer Nail.exe et l'autre qui change de nom ( qui là apparement s'appelle " ftdooy.exe " )
 
 
 Logfile of HijackThis v1.99.1
Scan saved at 18:55 Ragnarok, on 29/04/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
c:\windows\system32\ftdooy.exe
C:\Program Files\Skype\Phone\Skype.exe
D:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Hijack\HijackThis.exe
 
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\en-gb\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [tqghkl] c:\windows\system32\ftdooy.exe
O4 - HKLM\..\RunServices: [RunAlert] D:\Program Files\MSI\PC Alert III\AService.exe
O4 - HKLM\..\RunOnce: [PPClean Remove at boot] command nul /c C:\PPCleanDeleteAtReboot.bat
O4 - HKLM\..\RunOnce: [Pest Cleaning] "C:\Program Files\PestPatrol\ppclean.exe" "clean" "ts:20050429174519" "wintools" "2"
O4 - HKCU\..\Run: [Steam] "d:\stem\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AtiTrayTools] "D:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 3492498373
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe


Message édité par Ragnarock le 29-04-2005 à 19:10:37
Reply

Marsh Posté le 29-04-2005 à 19:45:16    

Démarrer-> exécuter-> tape:  cmd
 
Puis tape la commande suivante:  nail.exe /FullRemove
 
et "Entrée", redémarre.  
 
Poste un nouveau log

Reply

Marsh Posté le 30-04-2005 à 09:21:03    

Ben moi je tire juste mon chapeau a Pow wow qui a eu la patience de tout lire et de t'aider, honnetement ca m'a donné le vertige quand j'ai commencé a lire !! lol..
 
Sur ce je vais m'acheter des chambres a air  ^^

Reply

Marsh Posté le 05-05-2005 à 16:14:26    

Etant donné que le combat est trop dur à gagner et que j'ai pu supprimer beaucoup de spywares et autres trojans de mon PC , je m'arrête là parce que faut dire que c'est chiant les Hijackthis puis booter en Sans echec pour supprimer et tout !
Maintenant que j'ai la technique ^^ je le ferais de temps en temps, quand de nouveaux problèmes apparaitront .
 
Merci beaucoup à toi Pow-wow et aux autres qui ont participer à ce topic !!

Reply

Marsh Posté le 05-05-2005 à 18:51:20    

Ragnarock a écrit :

Etant donné que le combat est trop dur à gagner et que j'ai pu supprimer beaucoup de spywares et autres trojans de mon PC , je m'arrête là parce que faut dire que c'est chiant les Hijackthis puis booter en Sans echec pour supprimer et tout !
Maintenant que j'ai la technique ^^ je le ferais de temps en temps, quand de nouveaux problèmes apparaitront .
 
Merci beaucoup à toi Pow-wow et aux autres qui ont participer à ce topic !!


 
 :hello:  
 
C'est toi qui voit
 
 ;)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed