spy.agent variante de win32

Question

Bonjour,

hier j'ai éteins mon ordi et quand je l'est rallumé windows démarre normalement(logo windows avec la barre de progession dessous) et puis l'ecran devient noir il ne me reste plus que la souris sur l'écran. J'ai trouvé avec NOD32 un fichier infecté une variante de win32 (cxplib.dll).
j'ai esseyer de restaurer le système à une date antérieure rien à faire.
Si quelque peux m'aidésans tout formater ça serait cool car j'ai une site à faire tourner.
Petit renseignement je ne suis pas le king de l'informatique.
Merci d'avance.
Mask.

mask · Answer

Toc, Toc,
il y a quelqu'un pour aider un novice.

merci.

plopus · Answer

bonjour,

AVANT de formaté tu veux pas qu'on regarde si on peut pas faire quelque chose ?

qu'as tu comme probleme que tu veux tout e suite formaté si c'est juste la detection d'un virus, faut pas etre aussi radical.

    * Télécharge hijackthis  https://www.androidworld.fr/

    * Tout est expliqué pour bien l installer et savoir l'utiliser.



Comment copier/coller le rapport :


Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

Ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.

mask · Answer

voilà le rapport
Logfile of HijackThis v1.99.1
Scan saved at 18:03:53, on 19/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {D3919E1A-D6A5-11D6-AC3E-00B0D094B576} - C:\Program Files\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [UVS10 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [EPSON Stylus DX6000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\WINDOWS\TEMP\E_S26C.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [1&1 EasyLogin] C:\Program Files\1&1\1&1 EasyLogin\EasyLogin.exe
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://express.foto.com/ImageUploader5.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{71A35E05-EFCA-4981-BED0-DC1B20331594}: NameServer = 212.27.40.240,212.27.40.241
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\Documents and Settings\maskagaz\Bureau_server.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

plopus · Answer

re

donc oui une ligne indiquant un trojan en 023 qui essaye ce faire passer pour un process legitime

sinon ta version d'hijackthis n'est pas bonne supprime la et retelecharge la derniere ici :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

puis

met internet explorer (on est à la 7 ) a jour ainsi que tout tes autre logiciels :
via windows update
via ce site https://www.flexera.com/products/operations/software-vulnerability-management.html (clic start scan accepte l'active X)

puis

fait un scan en ligne ici et poste le rapport en ENTIER avec TOUTES les lignes meme si c'est long il fait avoir le nom des fichiers
http://www.bitdefender.fr/scan_fr/scan8/ie.html

puis on va voir si malwarebyte le detecte

    *  Télécharge Malwarebytes  https://www.androidworld.fr/
    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen RAPIDE"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

mask · Answer

merci pour l'aide.
voilà le rapport de bitdefender et l'autre et encore en train de tourner,je te l'envoie dés qu'il a fini.

BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Thu, Feb 19, 2009 - 19:19:45
 
 
  
  
 
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:\;K:\;L:\;M:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 00:48:46
 
Fichiers
 64377
 
Directoires
 6393
 
Secteurs de boot
 0
 
Archives
 1107
 
Paquets programmes
 5399
 
  
  
 
Résultats
 
Virus identifiés
 8
 
Fichiers infectés
 10
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 10
 
  
  
 
Info sur les moteurs
 
Définition virus
 2676193
 
Version des moteurs
 AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)
 
Analyse des plugins
 17
 
Archive des plugins
 45
 
Unpack des plugins
 7
 
E-mail plugins
 6
 
Système plugins
 4
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\Program Files\Save\ACM.dll
 Détecté avec: Adware.Savenow.AX
 
C:\Program Files\Save\ACM.dll
 Supprimé
 
C:\System Volume Information\_restore{377B0E19-3647-4FB6-B99B-2D504027C3B8}\RP1317\A0133513.dll
 Infecté par: Trojan.Generic.204196
 
C:\System Volume Information\_restore{377B0E19-3647-4FB6-B99B-2D504027C3B8}\RP1317\A0133513.dll
 Supprimé
 
C:\System Volume Information\_restore{377B0E19-3647-4FB6-B99B-2D504027C3B8}\RP1318\A0134619.dll
 Infecté par: Trojan.Generic.204196
 
C:\System Volume Information\_restore{377B0E19-3647-4FB6-B99B-2D504027C3B8}\RP1318\A0134619.dll
 Supprimé
 
C:\System Volume Information\_restore{377B0E19-3647-4FB6-B99B-2D504027C3B8}\RP1318\A0135630.dll
 Détecté avec: Adware.Savenow.AX
 
C:\System Volume Information\_restore{377B0E19-3647-4FB6-B99B-2D504027C3B8}\RP1318\A0135630.dll
 Supprimé
 
C:\System Volume Information\_restore{377B0E19-3647-4FB6-B99B-2D504027C3B8}\RP1318\A0135631.exe
 Détecté avec: Adware.Whenu.I
 
C:\System Volume Information\_restore{377B0E19-3647-4FB6-B99B-2D504027C3B8}\RP1318\A0135631.exe
 Supprimé
 
C:\System Volume Information\_restore{377B0E19-3647-4FB6-B99B-2D504027C3B8}\RP1318\A0135632.exe
 Détecté avec: Adware.VHW
 
C:\System Volume Information\_restore{377B0E19-3647-4FB6-B99B-2D504027C3B8}\RP1318\A0135632.exe
 Supprimé
 
D:\System Volume Information\_restore{377B0E19-3647-4FB6-B99B-2D504027C3B8}\RP1299\A0120750.exe
 Infecté par: Trojan.Generic.817669
 
D:\System Volume Information\_restore{377B0E19-3647-4FB6-B99B-2D504027C3B8}\RP1299\A0120750.exe
 Supprimé
 
H:\l3v.exe
 Infecté par: Trojan.PWS.OnLineGames.ZGX
 
H:\l3v.exe
 Supprimé
 
H:\a2h2.com
 Infecté par: Trojan.PWS.Onlinegames.KBML
 
H:\a2h2.com
 Supprimé
 
H:\2u.com
 Infecté par: Trojan.Generic.1217730
 
H:\2u.com
 Supprimé

plopus · Answer

ok sa à fait un peu de menage la

reposte un nouveau hijackthis car il me semble que ce qui etait visible n'est pas parti

as tu bien fait tes mise  ajour ?

plopus · Answer

Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le bureau (clic droit > Extraire tout)
* Double-cliquer sur le répertoire JavaRa.
* Puis double-cliquer sur le fichier JavaRa.exe (le exe peut ne pas s'afficher)
* Clique sur Search For Updates.
* Sélectionner Update Using jucheck.exe puis cliquer sur Search.
* Autorise le processus à se connecter s'il le demande, cliquer sur Install et suivre les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, revenez à l'écran de JavaRa et clique sur Remove Older Versions.
* Clique sur Oui pour confirmer. Laisse travailler et cliquez ensuite sur Ok, puis une deuxième fois sur Ok.
* Un rapport va s'ouvrir à copier-coller dans la prochaine réponse.
* Fermer l'application

Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log .

plopus · Answer

ok sa à l'air bon sinon fait JAVARA et poste le rapport come explique au dessus puis en controle telecharge GENPROC Ouvre ce lien d'aide < < http://www.alt-shift-return.org/Info/GenProc-HowTo.html > , et le téléchargement est dedans < http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip >. repond oui à la question à la fin et poste le rapport stp

plopus · Answer

heu... ben pas pour l'instant  :)

Fait la suite avec genproc on voit sa ensuite 

mais en tout cas tu n'as fait AUCUNE mise a jour tu es toujours sous XP SP2 tu as toujours IE6 donc grosse faille de securité

plopus · Answer

ok

je sais pas mais oui ptetre que tu peux pas telechargé en tout cas tu as des faille de securité 

fait GENPROC

plopus · Answer

Fait exactement ce qui est dit est poste les rapports

plopus · Answer

deja supprime ce fichier :

C:\DOCUME~1\maskagaz\Mes documents\logiciels\Tuneup Utilities 2004 Keygenerator.exe 

puis pour LOP fait l'option 2 comme il dise et poste le rapport

plopus · Answer

ok refait en option LOP en option 2 et poste le rapport

 puis poste un nouveau et dernier hijackthis

plopus · Answer

c'est a dire qu'au demarrage sa bug c'est sa ?

fait l'option 2 de LOP et poste un nouveau hijackthis

plopus · Answer

deja tu as toujours pas supprimer sa

C:\DOCUME~1\maskagaz\Mes documents\logiciels\Tuneup Utilities 2004 Keygenerator.exe 

une fois que c'est fait

telecharge CCleaner ici 
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
ouvre CCleaner va dans option/avanvé et decoche la premier ligne 
et nettoie ton registre et tes fichier temporaire au moins 2fois jusqu'a trouver 0erreur

plopus · Answer

relance hijackthis choisit do a scan only et coche les cases a gauche des lignes :

 R3 - Default URLSearchHook is missing 
 O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r     
 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k  
 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe     
 O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background     
 O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe     
 O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized     
 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')     
 O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')     
 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')     
 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')     
 O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe     
 O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE     
 O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)     
 O24 - Desktop Component 0: (no name) - http://artfiles.art.com/     

puis clic sur fix checked

ensuite ton antivirus NOD tu le paye ou c'est pas un officiel aussi ?

car si c'est pas un officiel les problemes peuvent venir de lui et tu peux avoir des protections + efficaces que des antivirus cracké gratuitement.

ensuite on regarde + en profondeur

Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
Clique sur Continue
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
 Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront poste les 2 rapports SEPAREMENT

plopus · Answer

tu as fait le poste 26 ?

poste le rapport

plopus · Answer

Ton NOD c'est officiel ou pas car le probleme peut venir de lui ?

plopus · Answer

ok donc sache quand meme que je suis tombé sur un sujet un jour ou il y avait un lien qui donné sur le site officel de NOD en plus car on c'est bien ou tu l'as pris et en fait d'après eux les versions crack ou avec des fausse serial ne beneficie pas des meme mise a jour, ce sont des serveurs pirate qui font les mises a jour donc les signature de virus sont changé, les detections en sont pas les memes donc plus de risque.

si tu le souhaite à la fin je te donne une configuration de 4 logiciel de securité a garder qui font LARGEMENT l'affaire est tous gratuit si sa t'interresse tu me dit.

ensuite

tu l'as bien coché cette ligne ou pas ?

O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe (file missing) 

refait le en FERMANT TOUT tes programme en te deconnectant d'internet et clic sur fix checked


puis
clic ici https://www.virustotal.com/gui/ et clic sur parcourir et va chercher le fichier ci dessous et fait le analyser et poste le rapport

C:\Program Files\   maskagaz.exe 

tu fais pareil pour UN SEUL de ces fichier et poste le rapport

C:\WINDOWS\system32\RENDD5.tmp
C:\WINDOWS\system32\RENDD4.tmp
C:\WINDOWS\system32\RENDD3.tmp 

sinon a part cela je vois + rien d'autre

plopus · Answer

re

analyse un des fichier  C:\WINDOWS\system32\RENDD5.tmp et poste le rapport

pour les 4 logiciel c'est 1 antivirus + 1parefeu + 2 antispyware et malware

sinon si la ligne revient toujours c'est pas bon signe sa

plopus · Answer

ok, je trouve aucune info dessus non plus et j'ai jamais vu de tel fichier a cette emplacement en tout cas pas de fichier legitime

donc


• Télécharge OTMoveIt3 (de OldTimer) sur ton Bureau : http://oldtimer.geekstogo.com/OTMoveIt3.exe
• Double-clique sur OTMoveIt3.exe afin de le lancer.
• Copie/colle le texte suivant dans le cadre « Paste Instructions for Items to be Moved » et clique sur Moveit :

:processes 
explorer.exe 

:files 
C:\WINDOWS\system32\RENDD5.tmp
C:\WINDOWS\system32\RENDD4.tmp
C:\WINDOWS\system32\RENDD3.tmp

:commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 



• Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.

• Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles
Le nom du rapport correspond au moment de sa création : date_heure.log

puis desinstalle donc ton NOD et supprime bien le crack et tout les composant

puis si tu l'as pas telecharge CCleaner ici 
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
ouvre CCleaner va dans option/avanvé et decoche la premier ligne 
et nettoie ton registre et tes fichier temporaire au moins 2fois jusqu'a trouver 0erreur

si tu le souhaite donc insatlle antivir en francais maintenant (ANTIVIRUS a garder)
http://www.commentcamarche.net/telecharger/telecharger 55 antivir
ensuite double clic sur le parapluie rouge dans la barre des tache en bas a droite :
- a l'ecran d'accueil clic sur F8 ou va sur configuration
- ensuite coche en haut a gauche "expert mode"
- ensuite selectionne dessous SCANNER
- ensuite dans le cadre de droite tu coche "tous les fichiers" et " Rech.rootkit au dem. de la recherche" puis met ok 

puis fait un scan une fois bien configurer et supprime tout ce qu'il trouve et poste le rapport en entier

puis relance malwarebyte fait une mise a jour avec et relance une analyse RAPIDE et poste le rapport

puis poste un nouveau hijackthis

plopus · Answer

oui par ajout suppression de programme

puis passe un coup de CCleaner regsitre compris et suppripe tout ce qu'il trouve sans jamais faire de sauvegarde des elements

puis va dans C/programmefile et regarde si tu trouve encore des fichier ou dossier faisant refernce a NOD si tu trouve supprime les manuellement puis vide ta corbeille.

le crack ben je sais pas trop comment tu l'as eu je dis sa comme sa, si toi tu sais pas moi je peux pas savoir non +, je le voit pas sur les rapports.

puis installe antivir et fait pareil pour malwarebyte ceux sont deja 2 des logiciels a garder pour ta protection et fait un scan avec les 2 et poste les rapports

plopus · Answer

Bonjour,

si tu n'as plus de probleme tu peux faire la suite sinon dit moi ce qu'il reste encore

la mise a jour de tes logiciel :
via windows update
via ce site https://www.flexera.com/products/operations/software-vulnerability-management.html (clic start scan accepte l'active X)

tu peut passer Toolscleaner pour nettoyer les outils que tu as telecharge
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
clik sur recherche laisse le scanner ton pc et direct après clik sur suppression et poste le rapport

TRES IMPORTANT
purge ta restauration avec sa http://www.commentcamarche.net/faq/sujet 5097 virus system volume information
puis creer un point de restauration sain avec sa http://www.commentcamarche.net/faq/sujet 740 windows points de restauration

puis pour finir voici donc quelques parefeu et quelques antispyware prend en UN de chaque pour ta protection et garde malwarebyte et antivir et fait des scans tout les mois

insatlle un parefeu sur ton PC (et pense a desactiver celui de windows) type

online armor http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

ou

comodo   http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro



antispyware :

super antispyware  https://www.superantispyware.com/?tag=GOOGLE-SUPERANTISPYWARE

ou

spyware blaster https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/28872.html


et met ton sujet en resolu

plopus · Answer

ok

Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
Clique sur Continue
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
 Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront poste les 2 rapports SEPAREMENT


puis clic ici installe l'active X et clic sur lancer detection et installe les DERNIERS drivers pour ton PC, installe les pour TOUS les composants MAIS installe pas les BETA 

https://www.touslesdrivers.com/index.php?v_page=29

mais en tout cas avec une version non officiel sa peut venir de la...jvais demander des avis mais poste bien le RSIT deja et met a jour tes drivers

plopus · Answer

tu as reussi ou PAS avec les drivers a les installé, tu installe ce qu'il te dise d'installer moi je ne peux pas savoir comme sa...

Utilisateur anonyme · Answer

Ton Nod32 n'est pas à jour non plus ta la version 2.xx on en est à la 4...
http://www.forum-protection.fr

gen-hackman · Answer

bonsoir j'ai discuté avec Poplus en MP de ce cas et apparement on aurait un service stoppé, automatique en 023 dans le hijack de rsit (s il est stoppé, que fait-il en 023 ????)je suggere donc ceci :

y'a du vice dans ce rsit :


Télécharge DDS.scr de sUBs 
https://download.bleepingcomputer.com/sUBs/dds.scr 
Sur le bureau. 
L'outil ne nécessite pas d'installation. 

Lances-le en cliquant sur l'icône dds.scr 

Cette fenêtre DOS va apparaitre: 
https://i75.servimg.com/u/f75/11/05/93/83/ddsdos10.jpg 

Le scan ne doit pas dépasser trois minutes. 
Un premier rapport va s'ouvrir que tu enregistreras sous DDS.txt par défaut sur le bureau. 
Il te sera demandé si tu veux faire le scan optionnel. 
Accepte par Oui 
Un nouveau rapport s'ouvre que tu enregistres sous Attach.txt sur le bureau. 

Tu fourniras les deux stp. 

Poste les rapport DDS.txt et Attach.txt stp

gen-hackman · Answer

bonjour :

---> Double-clique sur OTMoveIt3.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe

:services
Windows Log 

:files 
c:\program files\uninstal.exe  

:commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

gen-hackman · Answer

bonjour redemarre et relance rsit stp

gen-hackman · Answer

essaies de redemarrer en mode normal stp

plopus · Answer

lol

edite :

 :(  desolé

plopus · Answer

re

passe faire un tour ici et installe l'active X et scan ton PC et installe les DERNIERS drivers

https://www.touslesdrivers.com/index.php?v_page=29

et dit nous si il y a amelioration car fix des lignes ATI  c'est pas terrible

plopus · Answer

est ce que tu peux redemarrer en mode sans echec avec la manip F8 au demarrage ?

gen-hackman · Answer

bonsoir tu n es pas administrateur d l'ordi .?????????????????????????

gen-hackman · Answer

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau 
Pour Vista : Désactive l'UAC jusqu'à la résolution du problème http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/desactiver-controle-utilisateurs-sujet_198996_1.htm 
dézippe le dossier, double-clique sur GenProc.bat

http://forum.telecharger.01net.com/forum/­­­jeanchretien1-3.gif 

et poste le contenu du rapport qui s'ouvre

gen-hackman · Answer

fais!!!!!!

gen-hackman · Answer

Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Avec Internet Explorer).

- En bas à droite, clique sur Démarrer Online-scanner.

- Dans la nouvelle fenêtre qui s'affiche, clique sur J'accepte.

- Accepte les Contrôles ActiveX.

- Choisis Poste de travail pour le scan.

- Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport.

- Pour t'aider à utiliser le scan en ligne :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : Si tu reçois le message La licence de Kaspersky On-line Scanner est périmée, va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

plopus · Answer

n'aurait il pas un probleme de politique concernant ces active X ???

a voir si kaspersky ne marche pas non + car a part la 023 qui ne veut pas partir je ne vois rien d'autres

je pensais lui faire passer SDfix vu qu'il peut aller en mode sans echec quand pense tu GEN car cette 023 qui part pas il doit rester quelque chose

gen-hackman · Answer

pour polpus : c/f post 72

gen-hackman · Answer

salut a vous

il faudrait agirdans le registre pour te donner toutes les permissions maiis vu que je ne saispas laquelle est-ce....

gen-hackman · Answer

ou quelqu'un aurait une idee flambante ? en attendant : Télécharge ATF Cleaner par Atribune: http://www.atribune.org/ccount/click.php?id=1 Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adres ________________________________________________ http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner ---> Télécharge ToolsCleaner2 sur ton Bureau. * Double-clique sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). _________________________________________________ > Télécharge Dr.Web CureIt sur ton Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe - Double clique et ensuite clique sur ; - Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". - Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . - De retour à la fenêtre principale : clique pour activer - Clique le bouton avec flèche verte sur la droite, et le scan débutera. - Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". - Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . - Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv - Ferme Dr.Web Cureit - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

gen-hackman · Answer

quand c est le cas il faut reactualiser la page et ca apparait  :)

gen-hackman · Answer

AH ?

http://www.commentcamarche.net/telecharger/telechargement 34055347 dr web cureit

gen-hackman · Answer

relances rsit stp

gen-hackman · Answer

---> Double-clique sur OTMoveIt3.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe 

:services
MsWinlogonProcService

:commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 




---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

gen-hackman · Answer

redemarre et renvoie un rsit stp

plopus · Answer

bonsoir,

bien vu GEN, j'avais pas pensé a le faire comme sa   ;)

gen-hackman · Answer

:)

1&1 EasyLogin = c est toi qui as installé ca ?

gen-hackman · Answer

ok ouiu ca doit etre ca ...je n ai jamais ouvert de site

toujours des soucis ou on fait le menage ?

gen-hackman · Answer

regarde si tu trouves ce fichier : C:\Program Files\1&1\1&1 EasyLogin\EasyLogin.exe

gen-hackman · Answer

non ca a l air legitime

tu as rajouté du materiel dans ton pc dernierement ?(installable aec un pilote)

Utilisateur anonyme · Answer

Formattage b'importe quoi,
fait un scan avec ca :
http://www.prevx.com/freescan.asp

(attention il désinfecte pas si tu paye pas, mais au moins tu sera les fichier vérolé)

plopus · Answer

bonjour,

tu as encore des probleme mask ?

tes rapports sont propre

plopus · Answer

ben ecoute moi depuis GEN a repris la main pour moi il ne rester + que la lignes 023 (et 2 ou 3 ptit truc) et sa a ete supprimer au poste 93 

attends son avis biensur c'est juste pour savoir et avancer un peu les choses  :)

plopus · Answer

ben c'est des conneries, aucune infection et visible dans ton rapport et apparament tu as + de probleme alors pourquoi formaté...

en attendant GEN, pour nettoyer un peu le PC :

si tu l'as pas telecharge CCleaner ici 
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
ouvre CCleaner va dans option/avanvé et decoche la premier ligne 
et nettoie ton registre et tes fichier temporaire au moins 2fois jusqu'a trouver 0erreur

gen-hackman · Answer

bonjour je confirme  :)

gen-hackman · Answer

euh par contre Dorgane ne conseillait pas de formater !! ?

plopus · Answer

oups  oui

desolé Dorgane

Utilisateur anonyme · Answer

je di des conneries ?

dit moi ca coute coi de faire un scan pendant 1 min?
rien donc essaye puis au pire taura rien au mieu y aura un ptit truc...

Utilisateur anonyme · Answer

le san est gratuit, la désinfection est payante mais au moins on aura l'adresse du ou des fichier suspects !

gen-hackman · Answer

Je di des conneries  =non du tout

plopus · Answer

Dorgane, j'ai lu un peu trop vite je suis reste sur FORMATE c'est pour sa

Utilisateur anonyme · Answer

et apres on dit que je di nimporte quoi....
va sur https://www.virustotal.com/gui/ et fait analyser ces 2 fichier !

tu collera les rapport (adresse de l'analyse ici)

Utilisateur anonyme · Answer

ok c'est lequeld e fichier celui la ? et lautre ?

Utilisateur anonyme · Answer

ok,

telecharge et enregistre ! : http://download.bleepingcomputer.com/oldtimer/OTMoveIt3.exe

colle les 2 adresse des fichier dans le 1er cadre (jaune)
et clique sur le bouton rouge : moveit

tu devra peu etre redemarrer si il te le demande dit oui,
tu aura le rapport et les fichier dans le : C:\otmoveit.....

gen-hackman · Answer

:processes
explorer.exe

:files
C:\WINDOWS\websvr.part1.exe> in the current context! 
C:\Program Files\Spyware Blaster 3.2.exe

[emptytemp]
[start explorer]
[reboot]

Utilisateur anonyme · Answer

tin je sais plus ce quil faut mettre pour els deplacer...

redemarre ton pc en mode sans echec et essaye de les supprimer

gen-hackman · Answer

Oups j ai m****é moi aussi dans le copier coller   :S

Utilisateur anonyme · Answer

té arrivé a les supprimé ? ils y sont pas revenu ? ta encore des soucis et koi?

Utilisateur anonyme · Answer

ta essayer de reinstaller tes driver de la carte graphique ?

Utilisateur anonyme · Answer

tu sais si c'est une Ati ou Nvidia ? ou le nom de ta carte ?

Utilisateur anonyme · Answer

ok : http://game.amd.com/us-en/drivers_catalyst.aspx?p=xp/radeonx-xp
le 1er download de 37 mo

et met ton pc à jour je vois aussi que ta IE 6 et pas le sp3 dinstaller...

Utilisateur anonyme · Answer

oué a mon avis il faut un sp... parce que jai prix le driver xp pour les radeon 9600 series je sais pas la :s

Utilisateur anonyme · Answer

je en sais pas, essaye une reparation pour commencer...

gen-hackman · Answer

re,

j'aurais bien lu le dernier rapport otmoveit quand meme !

plopus · Answer

bosoir ici

voici un site pour mettre a jour TOUT tes drivers installe pas les BETA et installe QUE les DERNIERS drivers

https://www.touslesdrivers.com/index.php?v_page=29

tu devras installé un active X

Spy.agent variante de win32

76 réponses

Votre réponse

Discussions similaires

Newsletters