J'ai Smartsécurity spyware
nicolas
-
tricker -
tricker -
J'ai choppé smartsécurity spyware avec le fond d'écran rouge et tout ce qui va avec.
D'après ce j'ai vu sur le forum, voici le log obtenu avec HijackThis :
Logfile of HijackThis v1.99.1
Scan saved at 21:17:25, on 07/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svcsysreg.exe
C:\WINDOWS\System32\WebSrchX.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Jfq.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\cuwe.exe
C:\WINDOWS\System32\w?wexec.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\open32.exe
C:\WINDOWS\System32\wscript.exe
C:\WINDOWS\System32\wscript.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\Program Files\Norton Internet Security\ccEmFlSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Téléchgt\Spyware\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {26F369AE-D161-AF9A-1E3C-DD38023E92C8} - C:\WINDOWS\System32\qstuip.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [Svcsys Registry Manager] C:\WINDOWS\System32\svcsysreg.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliterfi32.exe
O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\System32\france.exe -N
O4 - HKLM\..\Run: [Cbk] C:\WINDOWS\System32\Lpr.exe
O4 - HKLM\..\Run: [Put] C:\WINDOWS\System32\Net.exe
O4 - HKLM\..\Run: [Ped] C:\WINDOWS\System32\Mmp.exe
O4 - HKLM\..\Run: [Hfm] C:\WINDOWS\Jfq.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Mgd] C:\WINDOWS\Gdj.exe
O4 - HKLM\..\Run: [Sas] C:\WINDOWS\Ric.exe
O4 - HKLM\..\Run: [Qso] C:\WINDOWS\System32\Smb.exe
O4 - HKLM\..\Run: [Vqp] C:\WINDOWS\System32\Vek.exe
O4 - HKLM\..\Run: [Ovo] C:\WINDOWS\Ipu.exe
O4 - HKLM\..\Run: [Vur] C:\WINDOWS\System32\Mqt.exe
O4 - HKLM\..\Run: [Qcg] C:\WINDOWS\Rlr.exe
O4 - HKLM\..\Run: [Ccc] C:\WINDOWS\Ahg.exe
O4 - HKLM\..\Run: [Kbl] C:\WINDOWS\Jdf.exe
O4 - HKLM\..\Run: [Emu] C:\WINDOWS\System32\Ugo.exe
O4 - HKLM\..\Run: [Jju] C:\WINDOWS\Hkt.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Heth] C:\WINDOWS\System32\cuwe.exe
O4 - HKCU\..\Run: [Rex] C:\WINDOWS\System32\w?wexec.exe
O4 - HKCU\..\Run: [Cbk] C:\WINDOWS\System32\Lpr.exe
O4 - HKCU\..\Run: [Put] C:\WINDOWS\System32\Net.exe
O4 - HKCU\..\Run: [Ped] C:\WINDOWS\System32\Mmp.exe
O4 - HKCU\..\Run: [Hfm] C:\WINDOWS\Jfq.exe
O4 - HKCU\..\Run: [Mgd] C:\WINDOWS\Gdj.exe
O4 - HKCU\..\Run: [Sas] C:\WINDOWS\Ric.exe
O4 - HKCU\..\Run: [Qso] C:\WINDOWS\System32\Smb.exe
O4 - HKCU\..\Run: [Vqp] C:\WINDOWS\System32\Vek.exe
O4 - HKCU\..\Run: [Ovo] C:\WINDOWS\Ipu.exe
O4 - HKCU\..\Run: [Vur] C:\WINDOWS\System32\Mqt.exe
O4 - HKCU\..\Run: [Qcg] C:\WINDOWS\Rlr.exe
O4 - HKCU\..\Run: [Ccc] C:\WINDOWS\Ahg.exe
O4 - HKCU\..\Run: [Kbl] C:\WINDOWS\Jdf.exe
O4 - HKCU\..\Run: [Emu] C:\WINDOWS\System32\Ugo.exe
O4 - HKCU\..\Run: [Jju] C:\WINDOWS\Hkt.exe
O4 - Startup: winupdate67874903[1].exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {DE4FA32B-3471-4B9E-B8A9-EF5C805C042D} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {DE4FA32B-3471-4B9E-B8A9-EF5C805C042D} - (no file) (HKCU)
O15 - Trusted Zone: *.horse-active.net
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.horse-active.net (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 64.62.171.156
O15 - Trusted IP range: 64.62.171.156 (HKLM)
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\ejvtmblo.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{447484E5-462B-462C-8F6C-8F45EBEBE0C9}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: NTWSMON - {F1E9704B-B242-4CEE-8FE0-EDDB86D8B515} - C:\WINDOWS\System32\dhcpf11n.dll
O21 - SSODL: NTDBGTOOL - {9697D804-3F10-45A9-8B10-461156B0730F} - C:\WINDOWS\System32\lftimma2.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Windows update Service (updater) - Unknown owner - C:\WINDOWS\System32\winsvc.exe
Merci de m'éclairer, car mes compétences en resteront là...
D'après ce j'ai vu sur le forum, voici le log obtenu avec HijackThis :
Logfile of HijackThis v1.99.1
Scan saved at 21:17:25, on 07/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svcsysreg.exe
C:\WINDOWS\System32\WebSrchX.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Jfq.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\cuwe.exe
C:\WINDOWS\System32\w?wexec.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\open32.exe
C:\WINDOWS\System32\wscript.exe
C:\WINDOWS\System32\wscript.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\Program Files\Norton Internet Security\ccEmFlSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Téléchgt\Spyware\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {26F369AE-D161-AF9A-1E3C-DD38023E92C8} - C:\WINDOWS\System32\qstuip.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [Svcsys Registry Manager] C:\WINDOWS\System32\svcsysreg.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliterfi32.exe
O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\System32\france.exe -N
O4 - HKLM\..\Run: [Cbk] C:\WINDOWS\System32\Lpr.exe
O4 - HKLM\..\Run: [Put] C:\WINDOWS\System32\Net.exe
O4 - HKLM\..\Run: [Ped] C:\WINDOWS\System32\Mmp.exe
O4 - HKLM\..\Run: [Hfm] C:\WINDOWS\Jfq.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Mgd] C:\WINDOWS\Gdj.exe
O4 - HKLM\..\Run: [Sas] C:\WINDOWS\Ric.exe
O4 - HKLM\..\Run: [Qso] C:\WINDOWS\System32\Smb.exe
O4 - HKLM\..\Run: [Vqp] C:\WINDOWS\System32\Vek.exe
O4 - HKLM\..\Run: [Ovo] C:\WINDOWS\Ipu.exe
O4 - HKLM\..\Run: [Vur] C:\WINDOWS\System32\Mqt.exe
O4 - HKLM\..\Run: [Qcg] C:\WINDOWS\Rlr.exe
O4 - HKLM\..\Run: [Ccc] C:\WINDOWS\Ahg.exe
O4 - HKLM\..\Run: [Kbl] C:\WINDOWS\Jdf.exe
O4 - HKLM\..\Run: [Emu] C:\WINDOWS\System32\Ugo.exe
O4 - HKLM\..\Run: [Jju] C:\WINDOWS\Hkt.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Heth] C:\WINDOWS\System32\cuwe.exe
O4 - HKCU\..\Run: [Rex] C:\WINDOWS\System32\w?wexec.exe
O4 - HKCU\..\Run: [Cbk] C:\WINDOWS\System32\Lpr.exe
O4 - HKCU\..\Run: [Put] C:\WINDOWS\System32\Net.exe
O4 - HKCU\..\Run: [Ped] C:\WINDOWS\System32\Mmp.exe
O4 - HKCU\..\Run: [Hfm] C:\WINDOWS\Jfq.exe
O4 - HKCU\..\Run: [Mgd] C:\WINDOWS\Gdj.exe
O4 - HKCU\..\Run: [Sas] C:\WINDOWS\Ric.exe
O4 - HKCU\..\Run: [Qso] C:\WINDOWS\System32\Smb.exe
O4 - HKCU\..\Run: [Vqp] C:\WINDOWS\System32\Vek.exe
O4 - HKCU\..\Run: [Ovo] C:\WINDOWS\Ipu.exe
O4 - HKCU\..\Run: [Vur] C:\WINDOWS\System32\Mqt.exe
O4 - HKCU\..\Run: [Qcg] C:\WINDOWS\Rlr.exe
O4 - HKCU\..\Run: [Ccc] C:\WINDOWS\Ahg.exe
O4 - HKCU\..\Run: [Kbl] C:\WINDOWS\Jdf.exe
O4 - HKCU\..\Run: [Emu] C:\WINDOWS\System32\Ugo.exe
O4 - HKCU\..\Run: [Jju] C:\WINDOWS\Hkt.exe
O4 - Startup: winupdate67874903[1].exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {DE4FA32B-3471-4B9E-B8A9-EF5C805C042D} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {DE4FA32B-3471-4B9E-B8A9-EF5C805C042D} - (no file) (HKCU)
O15 - Trusted Zone: *.horse-active.net
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.horse-active.net (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 64.62.171.156
O15 - Trusted IP range: 64.62.171.156 (HKLM)
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\ejvtmblo.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{447484E5-462B-462C-8F6C-8F45EBEBE0C9}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: NTWSMON - {F1E9704B-B242-4CEE-8FE0-EDDB86D8B515} - C:\WINDOWS\System32\dhcpf11n.dll
O21 - SSODL: NTDBGTOOL - {9697D804-3F10-45A9-8B10-461156B0730F} - C:\WINDOWS\System32\lftimma2.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Windows update Service (updater) - Unknown owner - C:\WINDOWS\System32\winsvc.exe
Merci de m'éclairer, car mes compétences en resteront là...
A voir également:
- J'ai Smartsécurity spyware
- Spyware doctor - Télécharger - Antivirus & Antimalwares
- Spyware terminator - Télécharger - Antivirus & Antimalwares
- Spyware blaster - Télécharger - Antivirus & Antimalwares
- Anti spyware gratuit - Télécharger - Antivirus & Antimalwares
- Anti spyware - Télécharger - Antivirus & Antimalwares
14 réponses
salut nicolas
Wahouu, laisse moi quelque minutes pour vérifier ton log, mais va y avoir du boulot !
a+
Wahouu, laisse moi quelque minutes pour vérifier ton log, mais va y avoir du boulot !
a+
Salut
Tu est infecté par des spywares, worm et autre trojans...
Ca va etre long a desinfecter...
Avant de faire quoi que ce soit, important:
Télécharge ces logiciels et met les à jours(important):
CWShredder
http://cwshredder.net/bin/CWShredder.exe
Ad-aware:
http://www.lavasoftusa.com/french/support/download/
Ensuite:
- désactive la restauration systéme:
Clic droit sur poste de travail > propriétés > onglet restauration système puis cocher "désactiver la restauration système".
- Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC(apres l'ecran du bios)
- Afficher les dossiers cachés et fichiers système:
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"
Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
Windows update Service (updater)
Double clic dessus et clic sur arreter puis dans type de demarrage selectionne désactivé.
Puis:
- Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios)
---------------------------------------------
Vérifie si ce ou ces procéssus apparaissent dans le gestionnaire des taches.(CTRL+ALT+SUPPR)
S'ils sont présent: clic droit dessus puis clic sur "terminer le processus"
svcsysreg.exe
WebSrchX.exe
Jfq.exe
cuwe.exe
w?wexec.exe
open32.exe
Lance hijackthis et Fixe:
(cocher au début de chaques lignes valider avec fix checked)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr8.hpwis.com/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {26F369AE-D161-AF9A-1E3C-DD38023E92C8} - C:\WINDOWS\System32\qstuip.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [Svcsys Registry Manager] C:\WINDOWS\System32\svcsysreg.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliterfi32.exe
O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\System32\france.exe -N
O4 - HKLM\..\Run: [Cbk] C:\WINDOWS\System32\Lpr.exe
O4 - HKLM\..\Run: [Put] C:\WINDOWS\System32\Net.exe
O4 - HKLM\..\Run: [Ped] C:\WINDOWS\System32\Mmp.exe
O4 - HKLM\..\Run: [Hfm] C:\WINDOWS\Jfq.exe
O4 - HKLM\..\Run: [Mgd] C:\WINDOWS\Gdj.exe
O4 - HKLM\..\Run: [Sas] C:\WINDOWS\Ric.exe
O4 - HKLM\..\Run: [Qso] C:\WINDOWS\System32\Smb.exe
O4 - HKLM\..\Run: [Vqp] C:\WINDOWS\System32\Vek.exe
O4 - HKLM\..\Run: [Ovo] C:\WINDOWS\Ipu.exe
O4 - HKLM\..\Run: [Vur] C:\WINDOWS\System32\Mqt.exe
O4 - HKLM\..\Run: [Qcg] C:\WINDOWS\Rlr.exe
O4 - HKLM\..\Run: [Ccc] C:\WINDOWS\Ahg.exe
O4 - HKLM\..\Run: [Kbl] C:\WINDOWS\Jdf.exe
O4 - HKLM\..\Run: [Emu] C:\WINDOWS\System32\Ugo.exe
O4 - HKLM\..\Run: [Jju] C:\WINDOWS\Hkt.exe
O4 - HKCU\..\Run: [Heth] C:\WINDOWS\System32\cuwe.exe
O4 - HKCU\..\Run: [Rex] C:\WINDOWS\System32\w?wexec.exe
O4 - HKCU\..\Run: [Cbk] C:\WINDOWS\System32\Lpr.exe
O4 - HKCU\..\Run: [Put] C:\WINDOWS\System32\Net.exe
O4 - HKCU\..\Run: [Ped] C:\WINDOWS\System32\Mmp.exe
O4 - HKCU\..\Run: [Hfm] C:\WINDOWS\Jfq.exe
O4 - HKCU\..\Run: [Mgd] C:\WINDOWS\Gdj.exe
O4 - HKCU\..\Run: [Sas] C:\WINDOWS\Ric.exe
O4 - HKCU\..\Run: [Qso] C:\WINDOWS\System32\Smb.exe
O4 - HKCU\..\Run: [Vqp] C:\WINDOWS\System32\Vek.exe
O4 - HKCU\..\Run: [Ovo] C:\WINDOWS\Ipu.exe
O4 - HKCU\..\Run: [Vur] C:\WINDOWS\System32\Mqt.exe
O4 - HKCU\..\Run: [Qcg] C:\WINDOWS\Rlr.exe
O4 - HKCU\..\Run: [Ccc] C:\WINDOWS\Ahg.exe
O4 - HKCU\..\Run: [Kbl] C:\WINDOWS\Jdf.exe
O4 - HKCU\..\Run: [Emu] C:\WINDOWS\System32\Ugo.exe
O4 - HKCU\..\Run: [Jju] C:\WINDOWS\Hkt.exe
O4 - Startup: winupdate67874903[1].exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {DE4FA32B-3471-4B9E-B8A9-EF5C805C042D} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {DE4FA32B-3471-4B9E-B8A9-EF5C805C042D} - (no file) (HKCU)
O15 - Trusted Zone: *.horse-active.net
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.horse-active.net (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 64.62.171.156
O15 - Trusted IP range: 64.62.171.156 (HKLM)
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\ejvtmblo.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c18.cab
O21 - SSODL: NTWSMON - {F1E9704B-B242-4CEE-8FE0-EDDB86D8B515} - C:\WINDOWS\System32\dhcpf11n.dll
O21 - SSODL: NTDBGTOOL - {9697D804-3F10-45A9-8B10-461156B0730F} - C:\WINDOWS\System32\lftimma2.dll
O23 - Service: Windows update Service (updater) - Unknown owner - C:\WINDOWS\System32\winsvc.exe
Rechercher et supprimer si présent:
C:\WINDOWS\System32\winsvc.exe
C:\WINDOWS\System32\svcsysreg.exe
C:\WINDOWS\System32\WebSrchX.exe
C:\WINDOWS\System32\cuwe.exe
C:\WINDOWS\System32\w?wexec.exe
C:\WINDOWS\System32\open32.exe
C:\WINDOWS\System32\qstuip.dll
C:\WINDOWS\System32\lftimma2.dll
C:\WINDOWS\System32\dhcpf11n.dll
C:\windows\system32\eliterfi32.exe
C:\WINDOWS\System32\france.exe -N
C:\WINDOWS\System32\Lpr.exe
C:\WINDOWS\System32\Net.exe
C:\WINDOWS\System32\Mmp.exe
C:\WINDOWS\System32\Smb.exe
C:\WINDOWS\System32\Vek.exe
C:\WINDOWS\System32\Mqt.exe
C:\WINDOWS\System32\Ugo.exe
C:\WINDOWS\System32\Lpr.exe
C:\WINDOWS\System32\Net.exe
C:\WINDOWS\System32\Mmp.exe
C:\WINDOWS\System32\Smb.exe
C:\WINDOWS\System32\Vek.exe
C:\WINDOWS\System32\Mqt.exe
C:\WINDOWS\System32\Ugo.exe
C:\WINDOWS\Hkt.exe
C:\WINDOWS\Jfq.exe
C:\WINDOWS\Ipu.exe
C:\WINDOWS\Gdj.exe
C:\WINDOWS\Ric.exe
C:\WINDOWS\Rlr.exe
C:\WINDOWS\Ahg.exe
C:\WINDOWS\Jdf.exe
C:\WINDOWS\Jfq.exe
C:\WINDOWS\Gdj.exe
C:\WINDOWS\Ric.exe
C:\WINDOWS\Ipu.exe
C:\WINDOWS\Rlr.exe
C:\WINDOWS\Ahg.exe
C:\WINDOWS\Jdf.exe
C:\WINDOWS\Hkt.exe
winupdate67874903[1].exe
C:\Desktop <= tout le dossier
C:\Program Files\Media Access <= tout le dossier
C:\Program Files\Internet Explorer\ejvtmblo.exe
Ensuite:
Fais un nettoyage des fichiers temps...etc avec ce programme:
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
ou manuellement:
Supprimer tout les fichiers à l'intérieur des dossiers suivants:
* C:\Temp
* C:\Windows\Temp
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* C:\Documents and Settings\tous les utilisateurs\Local Settings\Temp
* C:\Documents and Settings\tous les utilisateurs \Local Settings\Temporary Internet Files
* C:\Documents and Settings\tous les utilisateurs \Cookies
* Vider la corbeille !
Nettoyage du disque:
Démarrer > Tous les programmes > accessoires > outils système > nettoyage du disque
cocher:
- fichiers et programmes téléchargés
- fichiers internet temporaires
- corbeille
- fichier temporaires
valider ok
-----------------------------
lance Cwshredder et clic sur fix puis lance ad-aware et supprime tout ce qu'il trouve.
Redemarre normalement, et ensuite fais un scan AV ici:
http://www.ravantivirus.com/scan/
Clic sur "To continue without subscribing click here"
Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis
Ne pas oublier après les manips de recocher " masquer les fichiers protégés du système" dans les options des dossiers
si tu as des probs de clic droit et de fond d'ecran fais le savoir.
a+ et bon courrage...
Tu est infecté par des spywares, worm et autre trojans...
Ca va etre long a desinfecter...
Avant de faire quoi que ce soit, important:
Télécharge ces logiciels et met les à jours(important):
CWShredder
http://cwshredder.net/bin/CWShredder.exe
Ad-aware:
http://www.lavasoftusa.com/french/support/download/
Ensuite:
- désactive la restauration systéme:
Clic droit sur poste de travail > propriétés > onglet restauration système puis cocher "désactiver la restauration système".
- Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC(apres l'ecran du bios)
- Afficher les dossiers cachés et fichiers système:
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"
Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
Windows update Service (updater)
Double clic dessus et clic sur arreter puis dans type de demarrage selectionne désactivé.
Puis:
- Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios)
---------------------------------------------
Vérifie si ce ou ces procéssus apparaissent dans le gestionnaire des taches.(CTRL+ALT+SUPPR)
S'ils sont présent: clic droit dessus puis clic sur "terminer le processus"
svcsysreg.exe
WebSrchX.exe
Jfq.exe
cuwe.exe
w?wexec.exe
open32.exe
Lance hijackthis et Fixe:
(cocher au début de chaques lignes valider avec fix checked)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr8.hpwis.com/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {26F369AE-D161-AF9A-1E3C-DD38023E92C8} - C:\WINDOWS\System32\qstuip.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [Svcsys Registry Manager] C:\WINDOWS\System32\svcsysreg.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliterfi32.exe
O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\System32\france.exe -N
O4 - HKLM\..\Run: [Cbk] C:\WINDOWS\System32\Lpr.exe
O4 - HKLM\..\Run: [Put] C:\WINDOWS\System32\Net.exe
O4 - HKLM\..\Run: [Ped] C:\WINDOWS\System32\Mmp.exe
O4 - HKLM\..\Run: [Hfm] C:\WINDOWS\Jfq.exe
O4 - HKLM\..\Run: [Mgd] C:\WINDOWS\Gdj.exe
O4 - HKLM\..\Run: [Sas] C:\WINDOWS\Ric.exe
O4 - HKLM\..\Run: [Qso] C:\WINDOWS\System32\Smb.exe
O4 - HKLM\..\Run: [Vqp] C:\WINDOWS\System32\Vek.exe
O4 - HKLM\..\Run: [Ovo] C:\WINDOWS\Ipu.exe
O4 - HKLM\..\Run: [Vur] C:\WINDOWS\System32\Mqt.exe
O4 - HKLM\..\Run: [Qcg] C:\WINDOWS\Rlr.exe
O4 - HKLM\..\Run: [Ccc] C:\WINDOWS\Ahg.exe
O4 - HKLM\..\Run: [Kbl] C:\WINDOWS\Jdf.exe
O4 - HKLM\..\Run: [Emu] C:\WINDOWS\System32\Ugo.exe
O4 - HKLM\..\Run: [Jju] C:\WINDOWS\Hkt.exe
O4 - HKCU\..\Run: [Heth] C:\WINDOWS\System32\cuwe.exe
O4 - HKCU\..\Run: [Rex] C:\WINDOWS\System32\w?wexec.exe
O4 - HKCU\..\Run: [Cbk] C:\WINDOWS\System32\Lpr.exe
O4 - HKCU\..\Run: [Put] C:\WINDOWS\System32\Net.exe
O4 - HKCU\..\Run: [Ped] C:\WINDOWS\System32\Mmp.exe
O4 - HKCU\..\Run: [Hfm] C:\WINDOWS\Jfq.exe
O4 - HKCU\..\Run: [Mgd] C:\WINDOWS\Gdj.exe
O4 - HKCU\..\Run: [Sas] C:\WINDOWS\Ric.exe
O4 - HKCU\..\Run: [Qso] C:\WINDOWS\System32\Smb.exe
O4 - HKCU\..\Run: [Vqp] C:\WINDOWS\System32\Vek.exe
O4 - HKCU\..\Run: [Ovo] C:\WINDOWS\Ipu.exe
O4 - HKCU\..\Run: [Vur] C:\WINDOWS\System32\Mqt.exe
O4 - HKCU\..\Run: [Qcg] C:\WINDOWS\Rlr.exe
O4 - HKCU\..\Run: [Ccc] C:\WINDOWS\Ahg.exe
O4 - HKCU\..\Run: [Kbl] C:\WINDOWS\Jdf.exe
O4 - HKCU\..\Run: [Emu] C:\WINDOWS\System32\Ugo.exe
O4 - HKCU\..\Run: [Jju] C:\WINDOWS\Hkt.exe
O4 - Startup: winupdate67874903[1].exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {DE4FA32B-3471-4B9E-B8A9-EF5C805C042D} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {DE4FA32B-3471-4B9E-B8A9-EF5C805C042D} - (no file) (HKCU)
O15 - Trusted Zone: *.horse-active.net
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.horse-active.net (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 64.62.171.156
O15 - Trusted IP range: 64.62.171.156 (HKLM)
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\ejvtmblo.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c18.cab
O21 - SSODL: NTWSMON - {F1E9704B-B242-4CEE-8FE0-EDDB86D8B515} - C:\WINDOWS\System32\dhcpf11n.dll
O21 - SSODL: NTDBGTOOL - {9697D804-3F10-45A9-8B10-461156B0730F} - C:\WINDOWS\System32\lftimma2.dll
O23 - Service: Windows update Service (updater) - Unknown owner - C:\WINDOWS\System32\winsvc.exe
Rechercher et supprimer si présent:
C:\WINDOWS\System32\winsvc.exe
C:\WINDOWS\System32\svcsysreg.exe
C:\WINDOWS\System32\WebSrchX.exe
C:\WINDOWS\System32\cuwe.exe
C:\WINDOWS\System32\w?wexec.exe
C:\WINDOWS\System32\open32.exe
C:\WINDOWS\System32\qstuip.dll
C:\WINDOWS\System32\lftimma2.dll
C:\WINDOWS\System32\dhcpf11n.dll
C:\windows\system32\eliterfi32.exe
C:\WINDOWS\System32\france.exe -N
C:\WINDOWS\System32\Lpr.exe
C:\WINDOWS\System32\Net.exe
C:\WINDOWS\System32\Mmp.exe
C:\WINDOWS\System32\Smb.exe
C:\WINDOWS\System32\Vek.exe
C:\WINDOWS\System32\Mqt.exe
C:\WINDOWS\System32\Ugo.exe
C:\WINDOWS\System32\Lpr.exe
C:\WINDOWS\System32\Net.exe
C:\WINDOWS\System32\Mmp.exe
C:\WINDOWS\System32\Smb.exe
C:\WINDOWS\System32\Vek.exe
C:\WINDOWS\System32\Mqt.exe
C:\WINDOWS\System32\Ugo.exe
C:\WINDOWS\Hkt.exe
C:\WINDOWS\Jfq.exe
C:\WINDOWS\Ipu.exe
C:\WINDOWS\Gdj.exe
C:\WINDOWS\Ric.exe
C:\WINDOWS\Rlr.exe
C:\WINDOWS\Ahg.exe
C:\WINDOWS\Jdf.exe
C:\WINDOWS\Jfq.exe
C:\WINDOWS\Gdj.exe
C:\WINDOWS\Ric.exe
C:\WINDOWS\Ipu.exe
C:\WINDOWS\Rlr.exe
C:\WINDOWS\Ahg.exe
C:\WINDOWS\Jdf.exe
C:\WINDOWS\Hkt.exe
winupdate67874903[1].exe
C:\Desktop <= tout le dossier
C:\Program Files\Media Access <= tout le dossier
C:\Program Files\Internet Explorer\ejvtmblo.exe
Ensuite:
Fais un nettoyage des fichiers temps...etc avec ce programme:
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
ou manuellement:
Supprimer tout les fichiers à l'intérieur des dossiers suivants:
* C:\Temp
* C:\Windows\Temp
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* C:\Documents and Settings\tous les utilisateurs\Local Settings\Temp
* C:\Documents and Settings\tous les utilisateurs \Local Settings\Temporary Internet Files
* C:\Documents and Settings\tous les utilisateurs \Cookies
* Vider la corbeille !
Nettoyage du disque:
Démarrer > Tous les programmes > accessoires > outils système > nettoyage du disque
cocher:
- fichiers et programmes téléchargés
- fichiers internet temporaires
- corbeille
- fichier temporaires
valider ok
-----------------------------
lance Cwshredder et clic sur fix puis lance ad-aware et supprime tout ce qu'il trouve.
Redemarre normalement, et ensuite fais un scan AV ici:
http://www.ravantivirus.com/scan/
Clic sur "To continue without subscribing click here"
Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis
Ne pas oublier après les manips de recocher " masquer les fichiers protégés du système" dans les options des dossiers
si tu as des probs de clic droit et de fond d'ecran fais le savoir.
a+ et bon courrage...
oups petit rectificatif, ne redemarre pas de suite en mode sans echecs, fais le juste apres avoir desactivé le service Windows update Service (updater)
a+
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Demarrer> exécuter tape regedit
va jusqu'a ces clés:
* HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ clic sur Explorer
dans la fenetre de droite clic sur NoViewContextMenu et clic sur [Suppr] pour supprimer la valeur.
* HKLM\Software\Microsoft\Windows\CurrentVersion\policies\clic sur Explorer
dans la fenetre de droite clic sur NoViewContextMenu et clic sur [Suppr] pour supprimer la valeur.
le clic droit devrait etre à nouveau disponible.
va jusqu'a ces clés:
* HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ clic sur Explorer
dans la fenetre de droite clic sur NoViewContextMenu et clic sur [Suppr] pour supprimer la valeur.
* HKLM\Software\Microsoft\Windows\CurrentVersion\policies\clic sur Explorer
dans la fenetre de droite clic sur NoViewContextMenu et clic sur [Suppr] pour supprimer la valeur.
le clic droit devrait etre à nouveau disponible.
Toujours pas de clic droit sur la souris mais uniquement sur le bureau où apparaît toujours le fond d'écran rouge,
voici le rapport de Rav antivirus
Scan started at 07/04/2005 23:40:19
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\system32\elitebms32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\elitecar32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\eliteclw32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\elitedrk32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\eliteduh32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\eliteesa32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\elitehkg32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\elitehln32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\eliteowj32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\eliteunn32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\elitewrx32.exe - Trojan:Win32/StartPage.NK -> Infected
Scanned
============================
Objects: 42597
Directories: 2786
Archives: 11779
Size(Kb): -2095930
Infected files: 11
Found
============================
Viruses found: 1
Suspicious files: 0
Disinfected files: 0
Mail files: 91
+ nveau rapport de hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 00:03:18, on 08/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\Rnv.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Téléchgt\Spyware\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Klg] C:\WINDOWS\System32\Rnv.exe
O4 - HKLM\..\Run: [Hot_Tarts_fr] C:\Program Files\Video1\Dialers\Hot_Tarts_fr\Hot_Tarts_fr.exe /dontdial
O4 - HKLM\..\Run: [Lor] C:\WINDOWS\System32\Veg.exe
O4 - HKLM\..\Run: [Ncg] C:\WINDOWS\Fes.exe
O4 - HKLM\..\Run: [Cro] C:\WINDOWS\System32\Iuc.exe
O4 - HKLM\..\Run: [Bun] C:\WINDOWS\System32\Lsc.exe
O4 - HKLM\..\Run: [Fgo] C:\WINDOWS\Fun.exe
O4 - HKLM\..\Run: [Lqf] C:\WINDOWS\System32\Oau.exe
O4 - HKLM\..\Run: [Vjd] C:\WINDOWS\Rom.exe
O4 - HKLM\..\Run: [Ehh] C:\WINDOWS\Bbn.exe
O4 - HKLM\..\Run: [Qob] C:\WINDOWS\Pib.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Klg] C:\WINDOWS\System32\Rnv.exe
O4 - HKCU\..\Run: [Lor] C:\WINDOWS\System32\Veg.exe
O4 - HKCU\..\Run: [Ncg] C:\WINDOWS\Fes.exe
O4 - HKCU\..\Run: [Cro] C:\WINDOWS\System32\Iuc.exe
O4 - HKCU\..\Run: [Bun] C:\WINDOWS\System32\Lsc.exe
O4 - HKCU\..\Run: [Fgo] C:\WINDOWS\Fun.exe
O4 - HKCU\..\Run: [Lqf] C:\WINDOWS\System32\Oau.exe
O4 - HKCU\..\Run: [Vjd] C:\WINDOWS\Rom.exe
O4 - HKCU\..\Run: [Ehh] C:\WINDOWS\Bbn.exe
O4 - HKCU\..\Run: [Qob] C:\WINDOWS\Pib.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted IP range: 64.62.171.156
O15 - Trusted IP range: 64.62.171.156 (HKLM)
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{447484E5-462B-462C-8F6C-8F45EBEBE0C9}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
J'ai comme l'impression que tu vas me dire que je ne suis pas sorti de l'auberge...
voici le rapport de Rav antivirus
Scan started at 07/04/2005 23:40:19
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\system32\elitebms32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\elitecar32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\eliteclw32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\elitedrk32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\eliteduh32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\eliteesa32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\elitehkg32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\elitehln32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\eliteowj32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\eliteunn32.exe - Trojan:Win32/StartPage.NK -> Infected
C:\WINDOWS\system32\elitewrx32.exe - Trojan:Win32/StartPage.NK -> Infected
Scanned
============================
Objects: 42597
Directories: 2786
Archives: 11779
Size(Kb): -2095930
Infected files: 11
Found
============================
Viruses found: 1
Suspicious files: 0
Disinfected files: 0
Mail files: 91
+ nveau rapport de hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 00:03:18, on 08/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\Rnv.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Téléchgt\Spyware\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Klg] C:\WINDOWS\System32\Rnv.exe
O4 - HKLM\..\Run: [Hot_Tarts_fr] C:\Program Files\Video1\Dialers\Hot_Tarts_fr\Hot_Tarts_fr.exe /dontdial
O4 - HKLM\..\Run: [Lor] C:\WINDOWS\System32\Veg.exe
O4 - HKLM\..\Run: [Ncg] C:\WINDOWS\Fes.exe
O4 - HKLM\..\Run: [Cro] C:\WINDOWS\System32\Iuc.exe
O4 - HKLM\..\Run: [Bun] C:\WINDOWS\System32\Lsc.exe
O4 - HKLM\..\Run: [Fgo] C:\WINDOWS\Fun.exe
O4 - HKLM\..\Run: [Lqf] C:\WINDOWS\System32\Oau.exe
O4 - HKLM\..\Run: [Vjd] C:\WINDOWS\Rom.exe
O4 - HKLM\..\Run: [Ehh] C:\WINDOWS\Bbn.exe
O4 - HKLM\..\Run: [Qob] C:\WINDOWS\Pib.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Klg] C:\WINDOWS\System32\Rnv.exe
O4 - HKCU\..\Run: [Lor] C:\WINDOWS\System32\Veg.exe
O4 - HKCU\..\Run: [Ncg] C:\WINDOWS\Fes.exe
O4 - HKCU\..\Run: [Cro] C:\WINDOWS\System32\Iuc.exe
O4 - HKCU\..\Run: [Bun] C:\WINDOWS\System32\Lsc.exe
O4 - HKCU\..\Run: [Fgo] C:\WINDOWS\Fun.exe
O4 - HKCU\..\Run: [Lqf] C:\WINDOWS\System32\Oau.exe
O4 - HKCU\..\Run: [Vjd] C:\WINDOWS\Rom.exe
O4 - HKCU\..\Run: [Ehh] C:\WINDOWS\Bbn.exe
O4 - HKCU\..\Run: [Qob] C:\WINDOWS\Pib.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted IP range: 64.62.171.156
O15 - Trusted IP range: 64.62.171.156 (HKLM)
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{447484E5-462B-462C-8F6C-8F45EBEBE0C9}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
J'ai comme l'impression que tu vas me dire que je ne suis pas sorti de l'auberge...
salut nicolas
J'irais pas jusqu'a dire ca, mais il reste encore du boulot.
-> Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"
-> désactive la restauration systéme
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
Lance hijackthis et Fixe:
(cocher au début de chaques lignes valider avec fix checked)
O4 - HKLM\..\Run: [Klg] C:\WINDOWS\System32\Rnv.exe
O4 - HKLM\..\Run: [Hot_Tarts_fr] C:\Program Files\Video1\Dialers\Hot_Tarts_fr\Hot_Tarts_fr.exe /dontdial
O4 - HKLM\..\Run: [Lor] C:\WINDOWS\System32\Veg.exe
O4 - HKLM\..\Run: [Ncg] C:\WINDOWS\Fes.exe
O4 - HKLM\..\Run: [Cro] C:\WINDOWS\System32\Iuc.exe
O4 - HKLM\..\Run: [Bun] C:\WINDOWS\System32\Lsc.exe
O4 - HKLM\..\Run: [Fgo] C:\WINDOWS\Fun.exe
O4 - HKLM\..\Run: [Lqf] C:\WINDOWS\System32\Oau.exe
O4 - HKLM\..\Run: [Vjd] C:\WINDOWS\Rom.exe
O4 - HKLM\..\Run: [Ehh] C:\WINDOWS\Bbn.exe
O4 - HKLM\..\Run: [Qob] C:\WINDOWS\Pib.exe
O4 - HKCU\..\Run: [Klg] C:\WINDOWS\System32\Rnv.exe
O4 - HKCU\..\Run: [Lor] C:\WINDOWS\System32\Veg.exe
O4 - HKCU\..\Run: [Ncg] C:\WINDOWS\Fes.exe
O4 - HKCU\..\Run: [Cro] C:\WINDOWS\System32\Iuc.exe
O4 - HKCU\..\Run: [Bun] C:\WINDOWS\System32\Lsc.exe
O4 - HKCU\..\Run: [Fgo] C:\WINDOWS\Fun.exe
O4 - HKCU\..\Run: [Lqf] C:\WINDOWS\System32\Oau.exe
O4 - HKCU\..\Run: [Vjd] C:\WINDOWS\Rom.exe
O4 - HKCU\..\Run: [Ehh] C:\WINDOWS\Bbn.exe
O4 - HKCU\..\Run: [Qob] C:\WINDOWS\Pib.exe
O15 - Trusted IP range: 64.62.171.156
O15 - Trusted IP range: 64.62.171.156 (HKLM)
Puis:
- Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios)
---------------------------------------------
Rechercher et supprimer si présent:
C:\WINDOWS\system32\elitebms32.exe
C:\WINDOWS\system32\elitecar32.exe
C:\WINDOWS\system32\eliteclw32.exe
C:\WINDOWS\system32\elitedrk32.exe
C:\WINDOWS\system32\eliteduh32.exe
C:\WINDOWS\system32\eliteesa32.exe
C:\WINDOWS\system32\elitehkg32.exe
C:\WINDOWS\system32\elitehln32.exe
C:\WINDOWS\system32\eliteowj32.exe
C:\WINDOWS\system32\eliteunn32.exe
C:\WINDOWS\system32\elitewrx32.exe
C:\WINDOWS\System32\Veg.exe
C:\WINDOWS\System32\Oau.exe
C:\WINDOWS\System32\Rnv.exe
C:\WINDOWS\System32\Iuc.exe
C:\WINDOWS\System32\Lsc.exe
C:\WINDOWS\Fes.exe
C:\WINDOWS\Fun.exe
C:\WINDOWS\Rom.exe
C:\WINDOWS\Bbn.exe
C:\WINDOWS\Pib.exe
C:\WINDOWS\popup.html
C:\WINDOWS\desktop.html
C:\WINDOWS\Tcr.html
C:\Desktop <= tout le dossier
C:\Program Files\Video1<= tout le dossier
Ensuite:
Fais un nettoyage des fichiers temps...etc avec ce programme:
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
ou manuellement:
Supprimer tout les fichiers à l'intérieur des dossiers suivants:
* C:\Temp
* C:\Windows\Temp
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* C:\Documents and Settings\tous les utilisateurs\Local Settings\Temp
* C:\Documents and Settings\tous les utilisateurs \Local Settings\Temporary Internet Files
* C:\Documents and Settings\tous les utilisateurs \Cookies
* Vider la corbeille !
Nettoyage du disque:
Démarrer > Tous les programmes > accessoires > outils système > nettoyage du disque
cocher:
- fichiers et programmes téléchargés
- fichiers internet temporaires
- corbeille
- fichier temporaires
valider ok
-----------------------------
lance Cwshredder et clic sur fix puis lance ad-aware et supprime tout ce qu'il trouve.
Redemarre normalement et reposte un log hijack pour vérifier l'évolution
J'irais pas jusqu'a dire ca, mais il reste encore du boulot.
-> Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"
-> désactive la restauration systéme
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
Lance hijackthis et Fixe:
(cocher au début de chaques lignes valider avec fix checked)
O4 - HKLM\..\Run: [Klg] C:\WINDOWS\System32\Rnv.exe
O4 - HKLM\..\Run: [Hot_Tarts_fr] C:\Program Files\Video1\Dialers\Hot_Tarts_fr\Hot_Tarts_fr.exe /dontdial
O4 - HKLM\..\Run: [Lor] C:\WINDOWS\System32\Veg.exe
O4 - HKLM\..\Run: [Ncg] C:\WINDOWS\Fes.exe
O4 - HKLM\..\Run: [Cro] C:\WINDOWS\System32\Iuc.exe
O4 - HKLM\..\Run: [Bun] C:\WINDOWS\System32\Lsc.exe
O4 - HKLM\..\Run: [Fgo] C:\WINDOWS\Fun.exe
O4 - HKLM\..\Run: [Lqf] C:\WINDOWS\System32\Oau.exe
O4 - HKLM\..\Run: [Vjd] C:\WINDOWS\Rom.exe
O4 - HKLM\..\Run: [Ehh] C:\WINDOWS\Bbn.exe
O4 - HKLM\..\Run: [Qob] C:\WINDOWS\Pib.exe
O4 - HKCU\..\Run: [Klg] C:\WINDOWS\System32\Rnv.exe
O4 - HKCU\..\Run: [Lor] C:\WINDOWS\System32\Veg.exe
O4 - HKCU\..\Run: [Ncg] C:\WINDOWS\Fes.exe
O4 - HKCU\..\Run: [Cro] C:\WINDOWS\System32\Iuc.exe
O4 - HKCU\..\Run: [Bun] C:\WINDOWS\System32\Lsc.exe
O4 - HKCU\..\Run: [Fgo] C:\WINDOWS\Fun.exe
O4 - HKCU\..\Run: [Lqf] C:\WINDOWS\System32\Oau.exe
O4 - HKCU\..\Run: [Vjd] C:\WINDOWS\Rom.exe
O4 - HKCU\..\Run: [Ehh] C:\WINDOWS\Bbn.exe
O4 - HKCU\..\Run: [Qob] C:\WINDOWS\Pib.exe
O15 - Trusted IP range: 64.62.171.156
O15 - Trusted IP range: 64.62.171.156 (HKLM)
Puis:
- Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios)
---------------------------------------------
Rechercher et supprimer si présent:
C:\WINDOWS\system32\elitebms32.exe
C:\WINDOWS\system32\elitecar32.exe
C:\WINDOWS\system32\eliteclw32.exe
C:\WINDOWS\system32\elitedrk32.exe
C:\WINDOWS\system32\eliteduh32.exe
C:\WINDOWS\system32\eliteesa32.exe
C:\WINDOWS\system32\elitehkg32.exe
C:\WINDOWS\system32\elitehln32.exe
C:\WINDOWS\system32\eliteowj32.exe
C:\WINDOWS\system32\eliteunn32.exe
C:\WINDOWS\system32\elitewrx32.exe
C:\WINDOWS\System32\Veg.exe
C:\WINDOWS\System32\Oau.exe
C:\WINDOWS\System32\Rnv.exe
C:\WINDOWS\System32\Iuc.exe
C:\WINDOWS\System32\Lsc.exe
C:\WINDOWS\Fes.exe
C:\WINDOWS\Fun.exe
C:\WINDOWS\Rom.exe
C:\WINDOWS\Bbn.exe
C:\WINDOWS\Pib.exe
C:\WINDOWS\popup.html
C:\WINDOWS\desktop.html
C:\WINDOWS\Tcr.html
C:\Desktop <= tout le dossier
C:\Program Files\Video1<= tout le dossier
Ensuite:
Fais un nettoyage des fichiers temps...etc avec ce programme:
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
ou manuellement:
Supprimer tout les fichiers à l'intérieur des dossiers suivants:
* C:\Temp
* C:\Windows\Temp
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* C:\Documents and Settings\tous les utilisateurs\Local Settings\Temp
* C:\Documents and Settings\tous les utilisateurs \Local Settings\Temporary Internet Files
* C:\Documents and Settings\tous les utilisateurs \Cookies
* Vider la corbeille !
Nettoyage du disque:
Démarrer > Tous les programmes > accessoires > outils système > nettoyage du disque
cocher:
- fichiers et programmes téléchargés
- fichiers internet temporaires
- corbeille
- fichier temporaires
valider ok
-----------------------------
lance Cwshredder et clic sur fix puis lance ad-aware et supprime tout ce qu'il trouve.
Redemarre normalement et reposte un log hijack pour vérifier l'évolution
Voici le dernier log mais je ne peux jamais supprimer le dossier C:\Desktop...
Logfile of HijackThis v1.99.1
Scan saved at 18:02:14, on 08/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\Vfu.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Téléchgt\Spyware\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ez-finder.com/?1161
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Vce] C:\WINDOWS\System32\Vfu.exe
O4 - HKLM\..\Run: [Vqf] C:\WINDOWS\Rjc.exe
O4 - HKLM\..\Run: [Ein] C:\WINDOWS\System32\Kpp.exe
O4 - HKLM\..\Run: [Akk] C:\WINDOWS\System32\Hht.exe
O4 - HKLM\..\Run: [Upo] C:\WINDOWS\System32\Uch.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Vce] C:\WINDOWS\System32\Vfu.exe
O4 - HKCU\..\Run: [Vqf] C:\WINDOWS\Rjc.exe
O4 - HKCU\..\Run: [Ein] C:\WINDOWS\System32\Kpp.exe
O4 - HKCU\..\Run: [Akk] C:\WINDOWS\System32\Hht.exe
O4 - HKCU\..\Run: [Upo] C:\WINDOWS\System32\Uch.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
de plus, j'ai toujours dans les raccourcis du menu démarrer "click me", un truc qui s'installe régulièrement tout seul en raccourci sur le bureau. de l'amélioration tout de même : fini l'écran rouge, place à un écran bleu ciel mais je n'ai pas retrouvé mo, bureau d'origine ainsi que le clic droit (uniquement sur le bureau, lorsqu'une fenêtre de travail est ouverte, tout fonctionne...)
Merci déjà de ton aide - J'attends avec impatience les prochaines instructions...
@+
Nicolas
Logfile of HijackThis v1.99.1
Scan saved at 18:02:14, on 08/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\Vfu.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Téléchgt\Spyware\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ez-finder.com/?1161
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Vce] C:\WINDOWS\System32\Vfu.exe
O4 - HKLM\..\Run: [Vqf] C:\WINDOWS\Rjc.exe
O4 - HKLM\..\Run: [Ein] C:\WINDOWS\System32\Kpp.exe
O4 - HKLM\..\Run: [Akk] C:\WINDOWS\System32\Hht.exe
O4 - HKLM\..\Run: [Upo] C:\WINDOWS\System32\Uch.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Vce] C:\WINDOWS\System32\Vfu.exe
O4 - HKCU\..\Run: [Vqf] C:\WINDOWS\Rjc.exe
O4 - HKCU\..\Run: [Ein] C:\WINDOWS\System32\Kpp.exe
O4 - HKCU\..\Run: [Akk] C:\WINDOWS\System32\Hht.exe
O4 - HKCU\..\Run: [Upo] C:\WINDOWS\System32\Uch.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
de plus, j'ai toujours dans les raccourcis du menu démarrer "click me", un truc qui s'installe régulièrement tout seul en raccourci sur le bureau. de l'amélioration tout de même : fini l'écran rouge, place à un écran bleu ciel mais je n'ai pas retrouvé mo, bureau d'origine ainsi que le clic droit (uniquement sur le bureau, lorsqu'une fenêtre de travail est ouverte, tout fonctionne...)
Merci déjà de ton aide - J'attends avec impatience les prochaines instructions...
@+
Nicolas
dur dur
coche et fixe:
O4 - HKLM\..\Run: [Vce] C:\WINDOWS\System32\Vfu.exe
O4 - HKLM\..\Run: [Vqf] C:\WINDOWS\Rjc.exe
O4 - HKLM\..\Run: [Ein] C:\WINDOWS\System32\Kpp.exe
O4 - HKLM\..\Run: [Akk] C:\WINDOWS\System32\Hht.exe
O4 - HKLM\..\Run: [Upo] C:\WINDOWS\System32\Uch.exe
O4 - HKCU\..\Run: [Vce] C:\WINDOWS\System32\Vfu.exe
O4 - HKCU\..\Run: [Vqf] C:\WINDOWS\Rjc.exe
O4 - HKCU\..\Run: [Ein] C:\WINDOWS\System32\Kpp.exe
O4 - HKCU\..\Run: [Akk] C:\WINDOWS\System32\Hht.exe
O4 - HKCU\..\Run: [Upo] C:\WINDOWS\System32\Uch.exe
important, redemarre en mode sans echecs
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"
recherche et supprime si présent:
C:\WINDOWS\System32\Vfu.exe
C:\WINDOWS\Rjc.exe
C:\WINDOWS\System32\Kpp.exe
C:\WINDOWS\System32\Hht.exe
C:\WINDOWS\System32\Uch.exe
C:\WINDOWS\Bpg.exe.
C:\WINDOWS\popup.html.
C:\WINDOWS\desktop.html.
C:\Desktop.
C:\WINDOWS\Tcr.html.
verifie auussi si ceux là ont bien disparus:
svcsysreg.exe
WebSrchX.exe
cuwe.exe
w?wexec.exe
open32.exe
redemarre normalement et reposte un log
Bah on va y arriver à force!!
coche et fixe:
O4 - HKLM\..\Run: [Vce] C:\WINDOWS\System32\Vfu.exe
O4 - HKLM\..\Run: [Vqf] C:\WINDOWS\Rjc.exe
O4 - HKLM\..\Run: [Ein] C:\WINDOWS\System32\Kpp.exe
O4 - HKLM\..\Run: [Akk] C:\WINDOWS\System32\Hht.exe
O4 - HKLM\..\Run: [Upo] C:\WINDOWS\System32\Uch.exe
O4 - HKCU\..\Run: [Vce] C:\WINDOWS\System32\Vfu.exe
O4 - HKCU\..\Run: [Vqf] C:\WINDOWS\Rjc.exe
O4 - HKCU\..\Run: [Ein] C:\WINDOWS\System32\Kpp.exe
O4 - HKCU\..\Run: [Akk] C:\WINDOWS\System32\Hht.exe
O4 - HKCU\..\Run: [Upo] C:\WINDOWS\System32\Uch.exe
important, redemarre en mode sans echecs
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"
recherche et supprime si présent:
C:\WINDOWS\System32\Vfu.exe
C:\WINDOWS\Rjc.exe
C:\WINDOWS\System32\Kpp.exe
C:\WINDOWS\System32\Hht.exe
C:\WINDOWS\System32\Uch.exe
C:\WINDOWS\Bpg.exe.
C:\WINDOWS\popup.html.
C:\WINDOWS\desktop.html.
C:\Desktop.
C:\WINDOWS\Tcr.html.
verifie auussi si ceux là ont bien disparus:
svcsysreg.exe
WebSrchX.exe
cuwe.exe
w?wexec.exe
open32.exe
redemarre normalement et reposte un log
Bah on va y arriver à force!!
Je n'ai toujours pas réussi à effacer le C:\Desktop... mais le dossier est vide.
Voilà
A bientôt pour de nouvelles aventures.
Logfile of HijackThis v1.99.1
Scan saved at 18:50:09, on 08/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Vai.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\Téléchgt\Spyware\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ez-finder.com/?1161
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Goo] C:\WINDOWS\Vai.exe
O4 - HKLM\..\Run: [Nda] C:\WINDOWS\Rqe.exe
O4 - HKLM\..\Run: [Vck] C:\WINDOWS\Jhq.exe
O4 - HKLM\..\Run: [Ivt] C:\WINDOWS\Tju.exe
O4 - HKLM\..\Run: [Akq] C:\WINDOWS\Vst.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Goo] C:\WINDOWS\Vai.exe
O4 - HKCU\..\Run: [Nda] C:\WINDOWS\Rqe.exe
O4 - HKCU\..\Run: [Vck] C:\WINDOWS\Jhq.exe
O4 - HKCU\..\Run: [Ivt] C:\WINDOWS\Tju.exe
O4 - HKCU\..\Run: [Akq] C:\WINDOWS\Vst.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
Voilà
A bientôt pour de nouvelles aventures.
Logfile of HijackThis v1.99.1
Scan saved at 18:50:09, on 08/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Vai.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\Téléchgt\Spyware\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ez-finder.com/?1161
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Goo] C:\WINDOWS\Vai.exe
O4 - HKLM\..\Run: [Nda] C:\WINDOWS\Rqe.exe
O4 - HKLM\..\Run: [Vck] C:\WINDOWS\Jhq.exe
O4 - HKLM\..\Run: [Ivt] C:\WINDOWS\Tju.exe
O4 - HKLM\..\Run: [Akq] C:\WINDOWS\Vst.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Goo] C:\WINDOWS\Vai.exe
O4 - HKCU\..\Run: [Nda] C:\WINDOWS\Rqe.exe
O4 - HKCU\..\Run: [Vck] C:\WINDOWS\Jhq.exe
O4 - HKCU\..\Run: [Ivt] C:\WINDOWS\Tju.exe
O4 - HKCU\..\Run: [Akq] C:\WINDOWS\Vst.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
c'est bizarre, ils reviennent avec un nom different à chaque redemarrage.
est ce que tu peux faire analyser C:\WINDOWS\Vai.exe ici:
http://virusscan.jotti.org/
poste le resultat du scan
est ce que tu peux faire analyser C:\WINDOWS\Vai.exe ici:
http://virusscan.jotti.org/
poste le resultat du scan
Y'a du rififi la dessous...
Scanner results
AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found Clicker.7.T
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found Trojan.Click.289
F-Prot Antivirus Found W32/Backdoor.AZT
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Clicker.Win32.Spywad.b
mks_vir Found Trojan.Clicker.Spywad.B
NOD32 Found Win32/TrojanClicker.Spywad.B
Norman Virus Control Found Sandbox: W32/Malware; [ General information ]
* Creating several executable files on hard-drive.
* File length: 9729 bytes.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\Bpg.exe.
* Creates file C:\WINDOWS\popup.html.
* Creates file C:\WINDOWS\desktop.html.
* Creates directory C:\Desktop.
* Creates file C:\WINDOWS\Tcr.html.
* Creates file C:\WINDOWS\SYSTEM\Apo.exe.
* Creates file C:\WINDOWS\SYSTEM\Uak.exe.
* Creates file C:\WINDOWS\Fnp.exe.
* Creates file C:\WINDOWS\Pjh.exe.
* Creates file C:\WINDOWS\Tef.exe.
* Creates file C:\WINDOWS\SYSTEM\Lob.exe.
* Creates file C:\WINDOWS\Ftu.exe.
* Creates file C:\WINDOWS\SYSTEM\Imv.exe.
* Creates file C:\WINDOWS\SYSTEM\Evq.exe.
* Creates file C:\WINDOWS\SYSTEM\Neq.exe.
* Creates file C:\WINDOWS\SYSTEM\Tne.exe.
* Creates file C:\WINDOWS\SYSTEM\Bmj.exe.
* Creates file C:\WINDOWS\SYSTEM\Tvb.exe.
* Creates file C:\WINDOWS\Fee.exe.
* Creates file C:\WINDOWS\SYSTEM\Mot.exe.
* Creates file C:\WINDOWS\SYSTEM\Paj.exe.
* Creates file C:\WINDOWS\Lrq.exe.
* Creates file C:\WINDOWS\Dpe.exe.
* Creates file C:\WINDOWS\Ndk.exe.
* Creates file C:\WINDOWS\Ash.exe.
* Creates file C:\WINDOWS\SYSTEM\Jkj.exe.
* Creates file C:\WINDOWS\Kih.exe.
* Creates file C:\WINDOWS\SYSTEM\Aje.exe.
* Creates file C:\WINDOWS\Vcu.exe.
* Creates file C:\WINDOWS\SYSTEM\Ham.exe.
* Creates file C:\WINDOWS\Tfp.exe.
* Creates file C:\WINDOWS\Fhf.exe.
* Creates file C:\WINDOWS\SYSTEM\Clq.exe.
* Creates file C:\WINDOWS\Ajp.exe.
* Creates file C:\WINDOWS\Vof.exe.
* Creates file C:\WINDOWS\Mid.exe.
* Creates file C:\WINDOWS\SYSTEM\Lmd.exe.
* Creates file C:\WINDOWS\SYSTEM\Dhc.exe.
* Creates file C:\WINDOWS\Tes.exe.
* Creates file C:\WINDOWS\SYSTEM\Bir.exe.
* Creates file C:\WINDOWS\SYSTEM\Ltk.exe.
VBA32 Found Trojan-Clicker.Win32.Spywad.b
Que faire?
Scanner results
AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found Clicker.7.T
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found Trojan.Click.289
F-Prot Antivirus Found W32/Backdoor.AZT
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Clicker.Win32.Spywad.b
mks_vir Found Trojan.Clicker.Spywad.B
NOD32 Found Win32/TrojanClicker.Spywad.B
Norman Virus Control Found Sandbox: W32/Malware; [ General information ]
* Creating several executable files on hard-drive.
* File length: 9729 bytes.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\Bpg.exe.
* Creates file C:\WINDOWS\popup.html.
* Creates file C:\WINDOWS\desktop.html.
* Creates directory C:\Desktop.
* Creates file C:\WINDOWS\Tcr.html.
* Creates file C:\WINDOWS\SYSTEM\Apo.exe.
* Creates file C:\WINDOWS\SYSTEM\Uak.exe.
* Creates file C:\WINDOWS\Fnp.exe.
* Creates file C:\WINDOWS\Pjh.exe.
* Creates file C:\WINDOWS\Tef.exe.
* Creates file C:\WINDOWS\SYSTEM\Lob.exe.
* Creates file C:\WINDOWS\Ftu.exe.
* Creates file C:\WINDOWS\SYSTEM\Imv.exe.
* Creates file C:\WINDOWS\SYSTEM\Evq.exe.
* Creates file C:\WINDOWS\SYSTEM\Neq.exe.
* Creates file C:\WINDOWS\SYSTEM\Tne.exe.
* Creates file C:\WINDOWS\SYSTEM\Bmj.exe.
* Creates file C:\WINDOWS\SYSTEM\Tvb.exe.
* Creates file C:\WINDOWS\Fee.exe.
* Creates file C:\WINDOWS\SYSTEM\Mot.exe.
* Creates file C:\WINDOWS\SYSTEM\Paj.exe.
* Creates file C:\WINDOWS\Lrq.exe.
* Creates file C:\WINDOWS\Dpe.exe.
* Creates file C:\WINDOWS\Ndk.exe.
* Creates file C:\WINDOWS\Ash.exe.
* Creates file C:\WINDOWS\SYSTEM\Jkj.exe.
* Creates file C:\WINDOWS\Kih.exe.
* Creates file C:\WINDOWS\SYSTEM\Aje.exe.
* Creates file C:\WINDOWS\Vcu.exe.
* Creates file C:\WINDOWS\SYSTEM\Ham.exe.
* Creates file C:\WINDOWS\Tfp.exe.
* Creates file C:\WINDOWS\Fhf.exe.
* Creates file C:\WINDOWS\SYSTEM\Clq.exe.
* Creates file C:\WINDOWS\Ajp.exe.
* Creates file C:\WINDOWS\Vof.exe.
* Creates file C:\WINDOWS\Mid.exe.
* Creates file C:\WINDOWS\SYSTEM\Lmd.exe.
* Creates file C:\WINDOWS\SYSTEM\Dhc.exe.
* Creates file C:\WINDOWS\Tes.exe.
* Creates file C:\WINDOWS\SYSTEM\Bir.exe.
* Creates file C:\WINDOWS\SYSTEM\Ltk.exe.
VBA32 Found Trojan-Clicker.Win32.Spywad.b
Que faire?
J'ai une fenêtre qui vient encore d'apparaître avec le fond d'écran rouge danger spyware avec l'adresse C:\WINDOWS\Umd.html et la fois d'avant je l'ai déjà eu avec une autre adresse html.
J'ai l'impression que c'est ça qui me remet le défaut!!!
Pourquoi Norton 2005 n'y voit que du feu et ne bloque pas l'entrée?
J'ai l'impression que c'est ça qui me remet le défaut!!!
Pourquoi Norton 2005 n'y voit que du feu et ne bloque pas l'entrée?
salut
pourquoi norton ne vois rien, parce que la plupart des vir et autres sont conçu pour passer norton alors avant de te reconnecté protége toi mieux
car sur la toile, il y a des sauvages qui se font un malin plaisir de casser les pieds au lieu de s'occupé de leurs femmes tanpis pour eux s'il sont cocu et de partout ha ha ha
pourquoi norton ne vois rien, parce que la plupart des vir et autres sont conçu pour passer norton alors avant de te reconnecté protége toi mieux
car sur la toile, il y a des sauvages qui se font un malin plaisir de casser les pieds au lieu de s'occupé de leurs femmes tanpis pour eux s'il sont cocu et de partout ha ha ha
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"
Puis, vraiment important:
- Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios)
---------------------------------------------
Vérifie si ce ou ces procéssus apparaissent dans le gestionnaire des taches.(CTRL+ALT+SUPPR)
S'ils sont présent: clic droit dessus puis clic sur "terminer le processus"
Vai.exe
Lance hijackthis et Fixe:
(cocher au début de chaques lignes valider avec fix checked)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ez-finder.com/?1161
O4 - HKLM\..\Run: [Goo] C:\WINDOWS\Vai.exe
O4 - HKLM\..\Run: [Nda] C:\WINDOWS\Rqe.exe
O4 - HKLM\..\Run: [Vck] C:\WINDOWS\Jhq.exe
O4 - HKLM\..\Run: [Ivt] C:\WINDOWS\Tju.exe
O4 - HKLM\..\Run: [Akq] C:\WINDOWS\Vst.exe
O4 - HKCU\..\Run: [Goo] C:\WINDOWS\Vai.exe
O4 - HKCU\..\Run: [Nda] C:\WINDOWS\Rqe.exe
O4 - HKCU\..\Run: [Vck] C:\WINDOWS\Jhq.exe
O4 - HKCU\..\Run: [Ivt] C:\WINDOWS\Tju.exe
O4 - HKCU\..\Run: [Akq] C:\WINDOWS\Vst.exe
Rechercher et supprimer si présent:
C:\WINDOWS\Vai.exe
C:\WINDOWS\Rqe.exe
C:\WINDOWS\Jhq.exe
C:\WINDOWS\Tju.exe
C:\WINDOWS\Vst.exe
puis vérifie et supprime un par un tout les processus cités dans le rapport d'analyse que tu viens de faire(s'ils sont présents):
C:\WINDOWS\Bpg.exe.
C:\WINDOWS\Tcr.html.
C:\WINDOWS\SYSTEM\Apo.exe.
C:\WINDOWS\SYSTEM\Uak.exe.
C:\WINDOWS\Fnp.exe.
C:\WINDOWS\Pjh.exe.
C:\WINDOWS\Tef.exe.
C:\WINDOWS\SYSTEM\Lob.exe.
C:\WINDOWS\Ftu.exe.
C:\WINDOWS\SYSTEM\Imv.exe.
C:\WINDOWS\SYSTEM\Evq.exe.
C:\WINDOWS\SYSTEM\Neq.exe.
C:\WINDOWS\SYSTEM\Tne.exe.
C:\WINDOWS\SYSTEM\Bmj.exe.
C:\WINDOWS\SYSTEM\Tvb.exe.
C:\WINDOWS\Fee.exe.
C:\WINDOWS\SYSTEM\Mot.exe.
C:\WINDOWS\SYSTEM\Paj.exe.
C:\WINDOWS\Lrq.exe.
C:\WINDOWS\Dpe.exe.
C:\WINDOWS\Ndk.exe.
C:\WINDOWS\Ash.exe.
C:\WINDOWS\SYSTEM\Jkj.exe.
C:\WINDOWS\Kih.exe.
C:\WINDOWS\SYSTEM\Aje.exe.
C:\WINDOWS\Vcu.exe.
C:\WINDOWS\SYSTEM\Ham.exe.
C:\WINDOWS\Tfp.exe.
C:\WINDOWS\Fhf.exe.
C:\WINDOWS\SYSTEM\Clq.exe.
C:\WINDOWS\Ajp.exe.
C:\WINDOWS\Vof.exe.
C:\WINDOWS\Mid.exe.
C:\WINDOWS\SYSTEM\Lmd.exe.
C:\WINDOWS\SYSTEM\Dhc.exe.
C:\WINDOWS\Tes.exe.
C:\WINDOWS\SYSTEM\Bir.exe.
C:\WINDOWS\SYSTEM\Ltk.exe.
C:\WINDOWS\popup.html.
C:\WINDOWS\desktop.html.
C:\Desktop
je pense que SYSTEM= dossier System32, mais verifie dans les 2
je sais que ca risque d'etre long, mais prend le temps de les vérifier un par un.
tu peux faire un copier coller du post dans le bloc note et l'enregistrer pour pouvoir etre sur de ne rien oublier.
Ensuite:
Fais un nettoyage des fichiers temps...etc avec ce programme:
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
ou manuellement:
Supprimer tout les fichiers à l'intérieur des dossiers suivants:
* C:\Temp
* C:\Windows\Temp
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* C:\Documents and Settings\tous les utilisateurs\Local Settings\Temp
* C:\Documents and Settings\tous les utilisateurs \Local Settings\Temporary Internet Files
* C:\Documents and Settings\tous les utilisateurs \Cookies
* Vider la corbeille !
Nettoyage du disque:
Démarrer > Tous les programmes > accessoires > outils système > nettoyage du disque
cocher:
- fichiers et programmes téléchargés
- fichiers internet temporaires
- corbeille
- fichier temporaires
valider ok
-----------------------------
Redemarre normalement et reposte un log hijack pour vérifier l'évolution
Ne pas oublier après les manips de recocher " masquer les fichiers protégés du système" dans les options des dossiers
a+
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"
Puis, vraiment important:
- Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios)
---------------------------------------------
Vérifie si ce ou ces procéssus apparaissent dans le gestionnaire des taches.(CTRL+ALT+SUPPR)
S'ils sont présent: clic droit dessus puis clic sur "terminer le processus"
Vai.exe
Lance hijackthis et Fixe:
(cocher au début de chaques lignes valider avec fix checked)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ez-finder.com/?1161
O4 - HKLM\..\Run: [Goo] C:\WINDOWS\Vai.exe
O4 - HKLM\..\Run: [Nda] C:\WINDOWS\Rqe.exe
O4 - HKLM\..\Run: [Vck] C:\WINDOWS\Jhq.exe
O4 - HKLM\..\Run: [Ivt] C:\WINDOWS\Tju.exe
O4 - HKLM\..\Run: [Akq] C:\WINDOWS\Vst.exe
O4 - HKCU\..\Run: [Goo] C:\WINDOWS\Vai.exe
O4 - HKCU\..\Run: [Nda] C:\WINDOWS\Rqe.exe
O4 - HKCU\..\Run: [Vck] C:\WINDOWS\Jhq.exe
O4 - HKCU\..\Run: [Ivt] C:\WINDOWS\Tju.exe
O4 - HKCU\..\Run: [Akq] C:\WINDOWS\Vst.exe
Rechercher et supprimer si présent:
C:\WINDOWS\Vai.exe
C:\WINDOWS\Rqe.exe
C:\WINDOWS\Jhq.exe
C:\WINDOWS\Tju.exe
C:\WINDOWS\Vst.exe
puis vérifie et supprime un par un tout les processus cités dans le rapport d'analyse que tu viens de faire(s'ils sont présents):
C:\WINDOWS\Bpg.exe.
C:\WINDOWS\Tcr.html.
C:\WINDOWS\SYSTEM\Apo.exe.
C:\WINDOWS\SYSTEM\Uak.exe.
C:\WINDOWS\Fnp.exe.
C:\WINDOWS\Pjh.exe.
C:\WINDOWS\Tef.exe.
C:\WINDOWS\SYSTEM\Lob.exe.
C:\WINDOWS\Ftu.exe.
C:\WINDOWS\SYSTEM\Imv.exe.
C:\WINDOWS\SYSTEM\Evq.exe.
C:\WINDOWS\SYSTEM\Neq.exe.
C:\WINDOWS\SYSTEM\Tne.exe.
C:\WINDOWS\SYSTEM\Bmj.exe.
C:\WINDOWS\SYSTEM\Tvb.exe.
C:\WINDOWS\Fee.exe.
C:\WINDOWS\SYSTEM\Mot.exe.
C:\WINDOWS\SYSTEM\Paj.exe.
C:\WINDOWS\Lrq.exe.
C:\WINDOWS\Dpe.exe.
C:\WINDOWS\Ndk.exe.
C:\WINDOWS\Ash.exe.
C:\WINDOWS\SYSTEM\Jkj.exe.
C:\WINDOWS\Kih.exe.
C:\WINDOWS\SYSTEM\Aje.exe.
C:\WINDOWS\Vcu.exe.
C:\WINDOWS\SYSTEM\Ham.exe.
C:\WINDOWS\Tfp.exe.
C:\WINDOWS\Fhf.exe.
C:\WINDOWS\SYSTEM\Clq.exe.
C:\WINDOWS\Ajp.exe.
C:\WINDOWS\Vof.exe.
C:\WINDOWS\Mid.exe.
C:\WINDOWS\SYSTEM\Lmd.exe.
C:\WINDOWS\SYSTEM\Dhc.exe.
C:\WINDOWS\Tes.exe.
C:\WINDOWS\SYSTEM\Bir.exe.
C:\WINDOWS\SYSTEM\Ltk.exe.
C:\WINDOWS\popup.html.
C:\WINDOWS\desktop.html.
C:\Desktop
je pense que SYSTEM= dossier System32, mais verifie dans les 2
je sais que ca risque d'etre long, mais prend le temps de les vérifier un par un.
tu peux faire un copier coller du post dans le bloc note et l'enregistrer pour pouvoir etre sur de ne rien oublier.
Ensuite:
Fais un nettoyage des fichiers temps...etc avec ce programme:
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
ou manuellement:
Supprimer tout les fichiers à l'intérieur des dossiers suivants:
* C:\Temp
* C:\Windows\Temp
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* C:\Documents and Settings\tous les utilisateurs\Local Settings\Temp
* C:\Documents and Settings\tous les utilisateurs \Local Settings\Temporary Internet Files
* C:\Documents and Settings\tous les utilisateurs \Cookies
* Vider la corbeille !
Nettoyage du disque:
Démarrer > Tous les programmes > accessoires > outils système > nettoyage du disque
cocher:
- fichiers et programmes téléchargés
- fichiers internet temporaires
- corbeille
- fichier temporaires
valider ok
-----------------------------
Redemarre normalement et reposte un log hijack pour vérifier l'évolution
Ne pas oublier après les manips de recocher " masquer les fichiers protégés du système" dans les options des dossiers
a+
