fichiers impossibles à supprimer - Virus/Spywares - Windows & Software
Marsh Posté le 15-08-2007 à 09:41:01
J' ai également soumis le PC à Spybot 1.4, qui a bien sûr, trouvé 11 pb (cookies et adware) mais pas de changement concernant les 2 fichiers récalcitrants.
A votre avis, je tente quoi, à présent?
merci pour votre aide
Marsh Posté le 15-08-2007 à 10:17:12
Une autre indication ?
C'est la seconde fois que j'observe cela : Après avoir tenté une éradication sous Whax/Konqueror et puis là, tout de suite, après un passage de CCleaner, après le reboot, Windows annonce que l'intégrité du disque doit être vérifié et trouve (comme par hasard), des secteurs défectueux dans lesquels se trouvent des fichiers dont les noms ressemblent furieusement à mes 2 cocos.
Cela va un peu vite et je n'ai pas su arrêter le défilement d'écrans pour faire un rapport plus précis (la prochaine fois je tenterai la touche "pause" ?).
Le plus drôle ;-( c'est que Windows, très gentiment, propose de replacer les fichiers concernés à une autre localisation. (Je signale que j'ai désactivé la restauration du système /propriétés système).
Bon, je continue.
Marsh Posté le 15-08-2007 à 11:38:14
Bon, il y a du mieux : les 2 fichiers TBONbin ont disparu depuis l'intervention avec CCleaner (dont une effectuée dès le boot).
Sympa, mais je n'ai rien vu d'annoncé. Peut être le déplacement lié aux soi-disant secteurs défectueux leur a été fatal?
Par contre, j'ai toujours la fameuse ligne dans Hijackthis que je n'arrive pas à faire partir :
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll
Je sais qu'aujourd'hui est férié, mais si quelqu'un avait une petite idée?
En attendant, un petit coup d'analyse minutieuse sous Avast, ça ne peut pas faire de mal...
A suivre.
Marsh Posté le 15-08-2007 à 12:42:06
Si t'y arrive pas, tu peux regarder dans la base de registres aux lignes suivantes:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter
Marsh Posté le 15-08-2007 à 13:12:59
ogaby a écrit : Si t'y arrive pas, tu peux regarder dans la base de registres aux lignes suivantes: |
ok, je vais regarder par là.
merci pour cette info.
Marsh Posté le 15-08-2007 à 21:35:21
En fait, je n'ai rien trouvé qui corresponde à ces différentes descriptions sous Hkey_local _machine\Sofware etc... Par contre je viens de trouver avec regcleaner 4.3 une ligne Software\SemanticInsight avec une valeur C:\Program Files\RxToolbar\SemanticInsight
Je m'en vais donc tenter la suppression puis la vérif.
A suivre
Marsh Posté le 15-08-2007 à 22:57:02
Grrr! J'y croyais pourtant!
Après un nouveau passage sous Ccleaner, ma fameuse ligne 18 sous Hijackthis n'apparaissait plus que sous la forme :
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
Je me dis qu'il y a quand même du mieux, mais...
un passage du log sur le site de Hijackthis.de/fr me confirme qu'il FAUT supprimer cette entrée.
Sauf que je n'y arrive toujours pas! (elle revient à chaque scan)
En plus, la recherche sur cette série via Goggle me livre tous les rapports Hjt de la terre et sans aucun intérêt pour résoudre mon pb du moment.
Officiellement, je ne suis pas infecté mais j'aimerais bien en finir avec ce foutu truc, vu le temps passé, j'aimerais bien une victoire un peu plus nette.
Personne n'a une idée?
Marsh Posté le 18-08-2007 à 09:39:26
Bonjour à tous,
Désolé de relancer, mais j'ai toujours ma ligne sous HJT que je n'arrive pas à effacer (fix checked inefficace) :
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
Pour l'instant, cela n'a pas l'air très grave, la machine ne semble pas infectée, mais j'aimerai bien l'enlever.
Si quelqu'un avait une idée?
Marsh Posté le 18-08-2007 à 13:03:52
Regarde dans la base de registres à ces clés:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter
Et recherche {2AB289AE-4B90-4281-B2AE-1F4BB034B647}.
Marsh Posté le 15-08-2007 à 01:20:56
bonjour,
J'ai récupéré un portable Amilo bien malade. Après un passage avec Avast : une quarantaine de logiciels malveillants, chevaux de Troie et adware diverses(!)
Mon pb à présent : dans C:\Program Files, j'ai un dossier TBONbin avec deux fichiers dedans TBONWnd.exe 90 ko et tb?ninst.cfg 1ko qui refusent de disparaitre... Ces fichiers proviennent d'un petit cadeau qui accompagne l'installation de Kazaa.
J'ai essayé d'éradiquer ces 2 fichiers sous le mode sans échec, sans résultat. Voilà ce que j'ai déjà fait :
J'ai ensuite essayé Hijackthis en version 2 et je retrouve sans pouvoir la fixer la ligne suivante :
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll
Je veux dire que je la coche, je clique sur "fix checked" et si je fais un nouveau scan, cette ligne réapparait comme si je n'avais rien fait!
Au passage, j'ai également essayé de faire disparaitre mes 2 fichiers via le "Delete a file on reboot" de HJT/misc tools mais tjrs sans résultat (les fichiers sont tjrs là après le boot) et ça aussi sous le mode sans échec.
J'ai ensuite testé Killbox mais ça ne le fait pas non plus.
Après j'ai démarré sous Whax en me disant que peut être... mais si je peux voir mes différents dossiers dans hda\program files, impossible de voir mon fameux dossier TBONbin !
J'ai aussi tâter un peu de regcleaner pour tenter de nettoyer ce qui me paraissait en trop.
Voilà, une dernière indication, internet explorer plante très régulièrement et va mieux après la suppression de la ligne O18 sous HJT, même si, comme je l'ai dit, cela ne fait pas disparaitre cette entrée.
Si vous avez une idée à tester, je suis preneur.
Merci d'avance
Message édité par hpmilo le 15-08-2007 à 10:05:44