J'ai Smartsécurity spyware

nicolas -  
 tricker -
J'ai choppé smartsécurity spyware avec le fond d'écran rouge et tout ce qui va avec.

D'après ce j'ai vu sur le forum, voici le log obtenu avec HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 21:17:25, on 07/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svcsysreg.exe
C:\WINDOWS\System32\WebSrchX.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Jfq.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\cuwe.exe
C:\WINDOWS\System32\w?wexec.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\open32.exe
C:\WINDOWS\System32\wscript.exe
C:\WINDOWS\System32\wscript.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\Program Files\Norton Internet Security\ccEmFlSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Téléchgt\Spyware\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {26F369AE-D161-AF9A-1E3C-DD38023E92C8} - C:\WINDOWS\System32\qstuip.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [Svcsys Registry Manager] C:\WINDOWS\System32\svcsysreg.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliterfi32.exe
O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\System32\france.exe -N
O4 - HKLM\..\Run: [Cbk] C:\WINDOWS\System32\Lpr.exe
O4 - HKLM\..\Run: [Put] C:\WINDOWS\System32\Net.exe
O4 - HKLM\..\Run: [Ped] C:\WINDOWS\System32\Mmp.exe
O4 - HKLM\..\Run: [Hfm] C:\WINDOWS\Jfq.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Mgd] C:\WINDOWS\Gdj.exe
O4 - HKLM\..\Run: [Sas] C:\WINDOWS\Ric.exe
O4 - HKLM\..\Run: [Qso] C:\WINDOWS\System32\Smb.exe
O4 - HKLM\..\Run: [Vqp] C:\WINDOWS\System32\Vek.exe
O4 - HKLM\..\Run: [Ovo] C:\WINDOWS\Ipu.exe
O4 - HKLM\..\Run: [Vur] C:\WINDOWS\System32\Mqt.exe
O4 - HKLM\..\Run: [Qcg] C:\WINDOWS\Rlr.exe
O4 - HKLM\..\Run: [Ccc] C:\WINDOWS\Ahg.exe
O4 - HKLM\..\Run: [Kbl] C:\WINDOWS\Jdf.exe
O4 - HKLM\..\Run: [Emu] C:\WINDOWS\System32\Ugo.exe
O4 - HKLM\..\Run: [Jju] C:\WINDOWS\Hkt.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Heth] C:\WINDOWS\System32\cuwe.exe
O4 - HKCU\..\Run: [Rex] C:\WINDOWS\System32\w?wexec.exe
O4 - HKCU\..\Run: [Cbk] C:\WINDOWS\System32\Lpr.exe
O4 - HKCU\..\Run: [Put] C:\WINDOWS\System32\Net.exe
O4 - HKCU\..\Run: [Ped] C:\WINDOWS\System32\Mmp.exe
O4 - HKCU\..\Run: [Hfm] C:\WINDOWS\Jfq.exe
O4 - HKCU\..\Run: [Mgd] C:\WINDOWS\Gdj.exe
O4 - HKCU\..\Run: [Sas] C:\WINDOWS\Ric.exe
O4 - HKCU\..\Run: [Qso] C:\WINDOWS\System32\Smb.exe
O4 - HKCU\..\Run: [Vqp] C:\WINDOWS\System32\Vek.exe
O4 - HKCU\..\Run: [Ovo] C:\WINDOWS\Ipu.exe
O4 - HKCU\..\Run: [Vur] C:\WINDOWS\System32\Mqt.exe
O4 - HKCU\..\Run: [Qcg] C:\WINDOWS\Rlr.exe
O4 - HKCU\..\Run: [Ccc] C:\WINDOWS\Ahg.exe
O4 - HKCU\..\Run: [Kbl] C:\WINDOWS\Jdf.exe
O4 - HKCU\..\Run: [Emu] C:\WINDOWS\System32\Ugo.exe
O4 - HKCU\..\Run: [Jju] C:\WINDOWS\Hkt.exe
O4 - Startup: winupdate67874903[1].exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {DE4FA32B-3471-4B9E-B8A9-EF5C805C042D} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {DE4FA32B-3471-4B9E-B8A9-EF5C805C042D} - (no file) (HKCU)
O15 - Trusted Zone: *.horse-active.net
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.horse-active.net (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 64.62.171.156
O15 - Trusted IP range: 64.62.171.156 (HKLM)
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\ejvtmblo.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{447484E5-462B-462C-8F6C-8F45EBEBE0C9}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: NTWSMON - {F1E9704B-B242-4CEE-8FE0-EDDB86D8B515} - C:\WINDOWS\System32\dhcpf11n.dll
O21 - SSODL: NTDBGTOOL - {9697D804-3F10-45A9-8B10-461156B0730F} - C:\WINDOWS\System32\lftimma2.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Windows update Service (updater) - Unknown owner - C:\WINDOWS\System32\winsvc.exe

Merci de m'éclairer, car mes compétences en resteront là...

14 réponses

  1. moe
     
    salut nicolas

    Wahouu, laisse moi quelque minutes pour vérifier ton log, mais va y avoir du boulot !

    a+
    0
  2. moe
     
    Salut

    Tu est infecté par des spywares, worm et autre trojans...
    Ca va etre long a desinfecter...

    Avant de faire quoi que ce soit, important:

    Télécharge ces logiciels et met les à jours(important):

    CWShredder
    http://cwshredder.net/bin/CWShredder.exe

    Ad-aware:
    http://www.lavasoftusa.com/french/support/download/

    Ensuite:

    - désactive la restauration systéme:
    Clic droit sur poste de travail > propriétés > onglet restauration système puis cocher "désactiver la restauration système".

    - Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC(apres l'ecran du bios)

    - Afficher les dossiers cachés et fichiers système:
    panneau de configuration > options des dossiers > onglet affichage
    cocher " afficher les fichiers et dossiers cachés "
    décocher " masquer les extentions des fichiers dont le type est connu
    décocher " masquer les fichiers protégés du système"

    Dans le menu Demarrer>Executer >tape: Services.msc
    recherche le service avec cette orthographe exacte:

    Windows update Service (updater)

    Double clic dessus et clic sur arreter puis dans type de demarrage selectionne désactivé.

    Puis:
    - Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios)

    ---------------------------------------------

    Vérifie si ce ou ces procéssus apparaissent dans le gestionnaire des taches.(CTRL+ALT+SUPPR)
    S'ils sont présent: clic droit dessus puis clic sur "terminer le processus"

    svcsysreg.exe
    WebSrchX.exe
    Jfq.exe
    cuwe.exe
    w?wexec.exe
    open32.exe

    Lance hijackthis et Fixe:
    (cocher au début de chaques lignes valider avec fix checked)

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr8.hpwis.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr8.hpwis.com/

    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {26F369AE-D161-AF9A-1E3C-DD38023E92C8} - C:\WINDOWS\System32\qstuip.dll

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
    O4 - HKLM\..\Run: [Shell] open32.exe
    O4 - HKLM\..\Run: [Svcsys Registry Manager] C:\WINDOWS\System32\svcsysreg.exe
    O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
    O4 - HKLM\..\Run: [etbrun] C:\windows\system32\eliterfi32.exe
    O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\System32\france.exe -N
    O4 - HKLM\..\Run: [Cbk] C:\WINDOWS\System32\Lpr.exe
    O4 - HKLM\..\Run: [Put] C:\WINDOWS\System32\Net.exe
    O4 - HKLM\..\Run: [Ped] C:\WINDOWS\System32\Mmp.exe
    O4 - HKLM\..\Run: [Hfm] C:\WINDOWS\Jfq.exe
    O4 - HKLM\..\Run: [Mgd] C:\WINDOWS\Gdj.exe
    O4 - HKLM\..\Run: [Sas] C:\WINDOWS\Ric.exe
    O4 - HKLM\..\Run: [Qso] C:\WINDOWS\System32\Smb.exe
    O4 - HKLM\..\Run: [Vqp] C:\WINDOWS\System32\Vek.exe
    O4 - HKLM\..\Run: [Ovo] C:\WINDOWS\Ipu.exe
    O4 - HKLM\..\Run: [Vur] C:\WINDOWS\System32\Mqt.exe
    O4 - HKLM\..\Run: [Qcg] C:\WINDOWS\Rlr.exe
    O4 - HKLM\..\Run: [Ccc] C:\WINDOWS\Ahg.exe
    O4 - HKLM\..\Run: [Kbl] C:\WINDOWS\Jdf.exe
    O4 - HKLM\..\Run: [Emu] C:\WINDOWS\System32\Ugo.exe
    O4 - HKLM\..\Run: [Jju] C:\WINDOWS\Hkt.exe
    O4 - HKCU\..\Run: [Heth] C:\WINDOWS\System32\cuwe.exe
    O4 - HKCU\..\Run: [Rex] C:\WINDOWS\System32\w?wexec.exe
    O4 - HKCU\..\Run: [Cbk] C:\WINDOWS\System32\Lpr.exe
    O4 - HKCU\..\Run: [Put] C:\WINDOWS\System32\Net.exe
    O4 - HKCU\..\Run: [Ped] C:\WINDOWS\System32\Mmp.exe
    O4 - HKCU\..\Run: [Hfm] C:\WINDOWS\Jfq.exe
    O4 - HKCU\..\Run: [Mgd] C:\WINDOWS\Gdj.exe
    O4 - HKCU\..\Run: [Sas] C:\WINDOWS\Ric.exe
    O4 - HKCU\..\Run: [Qso] C:\WINDOWS\System32\Smb.exe
    O4 - HKCU\..\Run: [Vqp] C:\WINDOWS\System32\Vek.exe
    O4 - HKCU\..\Run: [Ovo] C:\WINDOWS\Ipu.exe
    O4 - HKCU\..\Run: [Vur] C:\WINDOWS\System32\Mqt.exe
    O4 - HKCU\..\Run: [Qcg] C:\WINDOWS\Rlr.exe
    O4 - HKCU\..\Run: [Ccc] C:\WINDOWS\Ahg.exe
    O4 - HKCU\..\Run: [Kbl] C:\WINDOWS\Jdf.exe
    O4 - HKCU\..\Run: [Emu] C:\WINDOWS\System32\Ugo.exe
    O4 - HKCU\..\Run: [Jju] C:\WINDOWS\Hkt.exe
    O4 - Startup: winupdate67874903[1].exe

    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
    O9 - Extra button: Microsoft AntiSpyware helper - {DE4FA32B-3471-4B9E-B8A9-EF5C805C042D} - (no file) (HKCU)
    O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {DE4FA32B-3471-4B9E-B8A9-EF5C805C042D} - (no file) (HKCU)
    O15 - Trusted Zone: *.horse-active.net
    O15 - Trusted Zone: *.skoobidoo.com
    O15 - Trusted Zone: *.slotchbar.com
    O15 - Trusted Zone: *.windupdates.com
    O15 - Trusted Zone: *.horse-active.net (HKLM)
    O15 - Trusted Zone: *.skoobidoo.com (HKLM)
    O15 - Trusted Zone: *.slotchbar.com (HKLM)
    O15 - Trusted Zone: *.windupdates.com (HKLM)
    O15 - Trusted IP range: 64.62.171.156
    O15 - Trusted IP range: 64.62.171.156 (HKLM)

    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\ejvtmblo.exe
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c18.cab

    O21 - SSODL: NTWSMON - {F1E9704B-B242-4CEE-8FE0-EDDB86D8B515} - C:\WINDOWS\System32\dhcpf11n.dll
    O21 - SSODL: NTDBGTOOL - {9697D804-3F10-45A9-8B10-461156B0730F} - C:\WINDOWS\System32\lftimma2.dll

    O23 - Service: Windows update Service (updater) - Unknown owner - C:\WINDOWS\System32\winsvc.exe

    Rechercher et supprimer si présent:

    C:\WINDOWS\System32\winsvc.exe
    C:\WINDOWS\System32\svcsysreg.exe
    C:\WINDOWS\System32\WebSrchX.exe
    C:\WINDOWS\System32\cuwe.exe
    C:\WINDOWS\System32\w?wexec.exe
    C:\WINDOWS\System32\open32.exe
    C:\WINDOWS\System32\qstuip.dll
    C:\WINDOWS\System32\lftimma2.dll
    C:\WINDOWS\System32\dhcpf11n.dll
    C:\windows\system32\eliterfi32.exe
    C:\WINDOWS\System32\france.exe -N
    C:\WINDOWS\System32\Lpr.exe
    C:\WINDOWS\System32\Net.exe
    C:\WINDOWS\System32\Mmp.exe
    C:\WINDOWS\System32\Smb.exe
    C:\WINDOWS\System32\Vek.exe
    C:\WINDOWS\System32\Mqt.exe
    C:\WINDOWS\System32\Ugo.exe
    C:\WINDOWS\System32\Lpr.exe
    C:\WINDOWS\System32\Net.exe
    C:\WINDOWS\System32\Mmp.exe
    C:\WINDOWS\System32\Smb.exe
    C:\WINDOWS\System32\Vek.exe
    C:\WINDOWS\System32\Mqt.exe
    C:\WINDOWS\System32\Ugo.exe
    C:\WINDOWS\Hkt.exe
    C:\WINDOWS\Jfq.exe
    C:\WINDOWS\Ipu.exe
    C:\WINDOWS\Gdj.exe
    C:\WINDOWS\Ric.exe
    C:\WINDOWS\Rlr.exe
    C:\WINDOWS\Ahg.exe
    C:\WINDOWS\Jdf.exe
    C:\WINDOWS\Jfq.exe
    C:\WINDOWS\Gdj.exe
    C:\WINDOWS\Ric.exe
    C:\WINDOWS\Ipu.exe
    C:\WINDOWS\Rlr.exe
    C:\WINDOWS\Ahg.exe
    C:\WINDOWS\Jdf.exe
    C:\WINDOWS\Hkt.exe
    winupdate67874903[1].exe
    C:\Desktop <= tout le dossier
    C:\Program Files\Media Access <= tout le dossier
    C:\Program Files\Internet Explorer\ejvtmblo.exe

    Ensuite:

    Fais un nettoyage des fichiers temps...etc avec ce programme:
    http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

    ou manuellement:

    Supprimer tout les fichiers à l'intérieur des dossiers suivants:

    * C:\Temp
    * C:\Windows\Temp
    * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
    * C:\Documents and Settings\tous les utilisateurs\Local Settings\Temp
    * C:\Documents and Settings\tous les utilisateurs \Local Settings\Temporary Internet Files
    * C:\Documents and Settings\tous les utilisateurs \Cookies
    * Vider la corbeille !

    Nettoyage du disque:
    Démarrer > Tous les programmes > accessoires > outils système > nettoyage du disque
    cocher:
    - fichiers et programmes téléchargés
    - fichiers internet temporaires
    - corbeille
    - fichier temporaires
    valider ok

    -----------------------------

    lance Cwshredder et clic sur fix puis lance ad-aware et supprime tout ce qu'il trouve.

    Redemarre normalement, et ensuite fais un scan AV ici:
    http://www.ravantivirus.com/scan/
    Clic sur "To continue without subscribing click here"
    Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
    A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis

    Ne pas oublier après les manips de recocher " masquer les fichiers protégés du système" dans les options des dossiers

    si tu as des probs de clic droit et de fond d'ecran fais le savoir.

    a+ et bon courrage...
    0
  3. moe
     
    oups petit rectificatif, ne redemarre pas de suite en mode sans echecs, fais le juste apres avoir desactivé le service Windows update Service (updater)

    a+
    0
  4. Nicolas
     
    je n'ai plus accès au clic droit de la souris... pour désactiver la restauration système
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moe
     
    Demarrer> exécuter tape regedit
    va jusqu'a ces clés:

    * HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ clic sur Explorer
    dans la fenetre de droite clic sur NoViewContextMenu et clic sur [Suppr] pour supprimer la valeur.

    * HKLM\Software\Microsoft\Windows\CurrentVersion\policies\clic sur Explorer
    dans la fenetre de droite clic sur NoViewContextMenu et clic sur [Suppr] pour supprimer la valeur.

    le clic droit devrait etre à nouveau disponible.
    0
  7. Nicolas
     
    Toujours pas de clic droit sur la souris mais uniquement sur le bureau où apparaît toujours le fond d'écran rouge,

    voici le rapport de Rav antivirus

    Scan started at 07/04/2005 23:40:19

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\WINDOWS\system32\elitebms32.exe - Trojan:Win32/StartPage.NK -> Infected
    C:\WINDOWS\system32\elitecar32.exe - Trojan:Win32/StartPage.NK -> Infected
    C:\WINDOWS\system32\eliteclw32.exe - Trojan:Win32/StartPage.NK -> Infected
    C:\WINDOWS\system32\elitedrk32.exe - Trojan:Win32/StartPage.NK -> Infected
    C:\WINDOWS\system32\eliteduh32.exe - Trojan:Win32/StartPage.NK -> Infected
    C:\WINDOWS\system32\eliteesa32.exe - Trojan:Win32/StartPage.NK -> Infected
    C:\WINDOWS\system32\elitehkg32.exe - Trojan:Win32/StartPage.NK -> Infected
    C:\WINDOWS\system32\elitehln32.exe - Trojan:Win32/StartPage.NK -> Infected
    C:\WINDOWS\system32\eliteowj32.exe - Trojan:Win32/StartPage.NK -> Infected
    C:\WINDOWS\system32\eliteunn32.exe - Trojan:Win32/StartPage.NK -> Infected
    C:\WINDOWS\system32\elitewrx32.exe - Trojan:Win32/StartPage.NK -> Infected

    Scanned
    ============================
    Objects: 42597
    Directories: 2786
    Archives: 11779
    Size(Kb): -2095930
    Infected files: 11

    Found
    ============================
    Viruses found: 1
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 91

    + nveau rapport de hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 00:03:18, on 08/04/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton Internet Security\ISSVC.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\windows\system\hpsysdrv.exe
    C:\HP\KBD\KBD.EXE
    C:\WINDOWS\ALCXMNTR.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    C:\Program Files\Logitech\ImageStudio\LogiTray.exe
    C:\PROGRA~1\Wanadoo\CnxMon.exe
    C:\PROGRA~1\MESSAG~1\StartMessager.exe
    C:\Program Files\Logitech\ImageStudio\LowLight.exe
    C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\Rnv.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
    C:\PROGRA~1\Wanadoo\ComComp.exe
    C:\PROGRA~1\Wanadoo\Watch.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\Téléchgt\Spyware\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
    O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
    O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
    O4 - HKLM\..\Run: [Klg] C:\WINDOWS\System32\Rnv.exe
    O4 - HKLM\..\Run: [Hot_Tarts_fr] C:\Program Files\Video1\Dialers\Hot_Tarts_fr\Hot_Tarts_fr.exe /dontdial
    O4 - HKLM\..\Run: [Lor] C:\WINDOWS\System32\Veg.exe
    O4 - HKLM\..\Run: [Ncg] C:\WINDOWS\Fes.exe
    O4 - HKLM\..\Run: [Cro] C:\WINDOWS\System32\Iuc.exe
    O4 - HKLM\..\Run: [Bun] C:\WINDOWS\System32\Lsc.exe
    O4 - HKLM\..\Run: [Fgo] C:\WINDOWS\Fun.exe
    O4 - HKLM\..\Run: [Lqf] C:\WINDOWS\System32\Oau.exe
    O4 - HKLM\..\Run: [Vjd] C:\WINDOWS\Rom.exe
    O4 - HKLM\..\Run: [Ehh] C:\WINDOWS\Bbn.exe
    O4 - HKLM\..\Run: [Qob] C:\WINDOWS\Pib.exe
    O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Klg] C:\WINDOWS\System32\Rnv.exe
    O4 - HKCU\..\Run: [Lor] C:\WINDOWS\System32\Veg.exe
    O4 - HKCU\..\Run: [Ncg] C:\WINDOWS\Fes.exe
    O4 - HKCU\..\Run: [Cro] C:\WINDOWS\System32\Iuc.exe
    O4 - HKCU\..\Run: [Bun] C:\WINDOWS\System32\Lsc.exe
    O4 - HKCU\..\Run: [Fgo] C:\WINDOWS\Fun.exe
    O4 - HKCU\..\Run: [Lqf] C:\WINDOWS\System32\Oau.exe
    O4 - HKCU\..\Run: [Vjd] C:\WINDOWS\Rom.exe
    O4 - HKCU\..\Run: [Ehh] C:\WINDOWS\Bbn.exe
    O4 - HKCU\..\Run: [Qob] C:\WINDOWS\Pib.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O15 - Trusted IP range: 64.62.171.156
    O15 - Trusted IP range: 64.62.171.156 (HKLM)
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{447484E5-462B-462C-8F6C-8F45EBEBE0C9}: NameServer = 80.10.246.130 80.10.246.3
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

    J'ai comme l'impression que tu vas me dire que je ne suis pas sorti de l'auberge...
    0
  8. moe
     
    salut nicolas

    J'irais pas jusqu'a dire ca, mais il reste encore du boulot.

    -> Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    cocher " afficher les fichiers et dossiers cachés "
    décocher " masquer les extentions des fichiers dont le type est connu
    décocher " masquer les fichiers protégés du système"

    -> désactive la restauration systéme
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".

    Lance hijackthis et Fixe:
    (cocher au début de chaques lignes valider avec fix checked)

    O4 - HKLM\..\Run: [Klg] C:\WINDOWS\System32\Rnv.exe
    O4 - HKLM\..\Run: [Hot_Tarts_fr] C:\Program Files\Video1\Dialers\Hot_Tarts_fr\Hot_Tarts_fr.exe /dontdial
    O4 - HKLM\..\Run: [Lor] C:\WINDOWS\System32\Veg.exe
    O4 - HKLM\..\Run: [Ncg] C:\WINDOWS\Fes.exe
    O4 - HKLM\..\Run: [Cro] C:\WINDOWS\System32\Iuc.exe
    O4 - HKLM\..\Run: [Bun] C:\WINDOWS\System32\Lsc.exe
    O4 - HKLM\..\Run: [Fgo] C:\WINDOWS\Fun.exe
    O4 - HKLM\..\Run: [Lqf] C:\WINDOWS\System32\Oau.exe
    O4 - HKLM\..\Run: [Vjd] C:\WINDOWS\Rom.exe
    O4 - HKLM\..\Run: [Ehh] C:\WINDOWS\Bbn.exe
    O4 - HKLM\..\Run: [Qob] C:\WINDOWS\Pib.exe
    O4 - HKCU\..\Run: [Klg] C:\WINDOWS\System32\Rnv.exe
    O4 - HKCU\..\Run: [Lor] C:\WINDOWS\System32\Veg.exe
    O4 - HKCU\..\Run: [Ncg] C:\WINDOWS\Fes.exe
    O4 - HKCU\..\Run: [Cro] C:\WINDOWS\System32\Iuc.exe
    O4 - HKCU\..\Run: [Bun] C:\WINDOWS\System32\Lsc.exe
    O4 - HKCU\..\Run: [Fgo] C:\WINDOWS\Fun.exe
    O4 - HKCU\..\Run: [Lqf] C:\WINDOWS\System32\Oau.exe
    O4 - HKCU\..\Run: [Vjd] C:\WINDOWS\Rom.exe
    O4 - HKCU\..\Run: [Ehh] C:\WINDOWS\Bbn.exe
    O4 - HKCU\..\Run: [Qob] C:\WINDOWS\Pib.exe
    O15 - Trusted IP range: 64.62.171.156
    O15 - Trusted IP range: 64.62.171.156 (HKLM)

    Puis:
    - Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios)

    ---------------------------------------------

    Rechercher et supprimer si présent:

    C:\WINDOWS\system32\elitebms32.exe
    C:\WINDOWS\system32\elitecar32.exe
    C:\WINDOWS\system32\eliteclw32.exe
    C:\WINDOWS\system32\elitedrk32.exe
    C:\WINDOWS\system32\eliteduh32.exe
    C:\WINDOWS\system32\eliteesa32.exe
    C:\WINDOWS\system32\elitehkg32.exe
    C:\WINDOWS\system32\elitehln32.exe
    C:\WINDOWS\system32\eliteowj32.exe
    C:\WINDOWS\system32\eliteunn32.exe
    C:\WINDOWS\system32\elitewrx32.exe

    C:\WINDOWS\System32\Veg.exe
    C:\WINDOWS\System32\Oau.exe
    C:\WINDOWS\System32\Rnv.exe
    C:\WINDOWS\System32\Iuc.exe
    C:\WINDOWS\System32\Lsc.exe

    C:\WINDOWS\Fes.exe
    C:\WINDOWS\Fun.exe
    C:\WINDOWS\Rom.exe
    C:\WINDOWS\Bbn.exe
    C:\WINDOWS\Pib.exe
    C:\WINDOWS\popup.html
    C:\WINDOWS\desktop.html
    C:\WINDOWS\Tcr.html

    C:\Desktop <= tout le dossier
    C:\Program Files\Video1<= tout le dossier

    Ensuite:

    Fais un nettoyage des fichiers temps...etc avec ce programme:
    http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

    ou manuellement:

    Supprimer tout les fichiers à l'intérieur des dossiers suivants:

    * C:\Temp
    * C:\Windows\Temp
    * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
    * C:\Documents and Settings\tous les utilisateurs\Local Settings\Temp
    * C:\Documents and Settings\tous les utilisateurs \Local Settings\Temporary Internet Files
    * C:\Documents and Settings\tous les utilisateurs \Cookies
    * Vider la corbeille !

    Nettoyage du disque:
    Démarrer > Tous les programmes > accessoires > outils système > nettoyage du disque
    cocher:
    - fichiers et programmes téléchargés
    - fichiers internet temporaires
    - corbeille
    - fichier temporaires
    valider ok

    -----------------------------

    lance Cwshredder et clic sur fix puis lance ad-aware et supprime tout ce qu'il trouve.

    Redemarre normalement et reposte un log hijack pour vérifier l'évolution
    0
  9. Nicolas
     
    Voici le dernier log mais je ne peux jamais supprimer le dossier C:\Desktop...

    Logfile of HijackThis v1.99.1
    Scan saved at 18:02:14, on 08/04/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton Internet Security\ISSVC.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\windows\system\hpsysdrv.exe
    C:\HP\KBD\KBD.EXE
    C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
    C:\WINDOWS\ALCXMNTR.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    C:\Program Files\Logitech\ImageStudio\LogiTray.exe
    C:\PROGRA~1\Wanadoo\CnxMon.exe
    C:\PROGRA~1\MESSAG~1\StartMessager.exe
    C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    C:\Program Files\Logitech\ImageStudio\LowLight.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    C:\WINDOWS\System32\Vfu.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\Téléchgt\Spyware\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr8.hpwis.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ez-finder.com/?1161
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
    O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
    O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
    O4 - HKLM\..\Run: [Vce] C:\WINDOWS\System32\Vfu.exe
    O4 - HKLM\..\Run: [Vqf] C:\WINDOWS\Rjc.exe
    O4 - HKLM\..\Run: [Ein] C:\WINDOWS\System32\Kpp.exe
    O4 - HKLM\..\Run: [Akk] C:\WINDOWS\System32\Hht.exe
    O4 - HKLM\..\Run: [Upo] C:\WINDOWS\System32\Uch.exe
    O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Vce] C:\WINDOWS\System32\Vfu.exe
    O4 - HKCU\..\Run: [Vqf] C:\WINDOWS\Rjc.exe
    O4 - HKCU\..\Run: [Ein] C:\WINDOWS\System32\Kpp.exe
    O4 - HKCU\..\Run: [Akk] C:\WINDOWS\System32\Hht.exe
    O4 - HKCU\..\Run: [Upo] C:\WINDOWS\System32\Uch.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

    de plus, j'ai toujours dans les raccourcis du menu démarrer "click me", un truc qui s'installe régulièrement tout seul en raccourci sur le bureau. de l'amélioration tout de même : fini l'écran rouge, place à un écran bleu ciel mais je n'ai pas retrouvé mo, bureau d'origine ainsi que le clic droit (uniquement sur le bureau, lorsqu'une fenêtre de travail est ouverte, tout fonctionne...)

    Merci déjà de ton aide - J'attends avec impatience les prochaines instructions...

    @+
    Nicolas
    0
  10. moe
     
    dur dur

    coche et fixe:
    O4 - HKLM\..\Run: [Vce] C:\WINDOWS\System32\Vfu.exe
    O4 - HKLM\..\Run: [Vqf] C:\WINDOWS\Rjc.exe
    O4 - HKLM\..\Run: [Ein] C:\WINDOWS\System32\Kpp.exe
    O4 - HKLM\..\Run: [Akk] C:\WINDOWS\System32\Hht.exe
    O4 - HKLM\..\Run: [Upo] C:\WINDOWS\System32\Uch.exe
    O4 - HKCU\..\Run: [Vce] C:\WINDOWS\System32\Vfu.exe
    O4 - HKCU\..\Run: [Vqf] C:\WINDOWS\Rjc.exe
    O4 - HKCU\..\Run: [Ein] C:\WINDOWS\System32\Kpp.exe
    O4 - HKCU\..\Run: [Akk] C:\WINDOWS\System32\Hht.exe
    O4 - HKCU\..\Run: [Upo] C:\WINDOWS\System32\Uch.exe

    important, redemarre en mode sans echecs

    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    cocher " afficher les fichiers et dossiers cachés "
    décocher " masquer les extentions des fichiers dont le type est connu
    décocher " masquer les fichiers protégés du système"

    recherche et supprime si présent:

    C:\WINDOWS\System32\Vfu.exe
    C:\WINDOWS\Rjc.exe
    C:\WINDOWS\System32\Kpp.exe
    C:\WINDOWS\System32\Hht.exe
    C:\WINDOWS\System32\Uch.exe
    C:\WINDOWS\Bpg.exe.
    C:\WINDOWS\popup.html.
    C:\WINDOWS\desktop.html.
    C:\Desktop.
    C:\WINDOWS\Tcr.html.

    verifie auussi si ceux là ont bien disparus:

    svcsysreg.exe
    WebSrchX.exe
    cuwe.exe
    w?wexec.exe
    open32.exe

    redemarre normalement et reposte un log

    Bah on va y arriver à force!!
    0
  11. Nicolas
     
    Je n'ai toujours pas réussi à effacer le C:\Desktop... mais le dossier est vide.

    Voilà

    A bientôt pour de nouvelles aventures.

    Logfile of HijackThis v1.99.1
    Scan saved at 18:50:09, on 08/04/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton Internet Security\ISSVC.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\windows\system\hpsysdrv.exe
    C:\HP\KBD\KBD.EXE
    C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
    C:\WINDOWS\ALCXMNTR.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    C:\Program Files\Logitech\ImageStudio\LogiTray.exe
    C:\PROGRA~1\Wanadoo\CnxMon.exe
    C:\PROGRA~1\MESSAG~1\StartMessager.exe
    C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\Vai.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Logitech\ImageStudio\LowLight.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Documents and Settings\Téléchgt\Spyware\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr8.hpwis.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ez-finder.com/?1161
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
    O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
    O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
    O4 - HKLM\..\Run: [Goo] C:\WINDOWS\Vai.exe
    O4 - HKLM\..\Run: [Nda] C:\WINDOWS\Rqe.exe
    O4 - HKLM\..\Run: [Vck] C:\WINDOWS\Jhq.exe
    O4 - HKLM\..\Run: [Ivt] C:\WINDOWS\Tju.exe
    O4 - HKLM\..\Run: [Akq] C:\WINDOWS\Vst.exe
    O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Goo] C:\WINDOWS\Vai.exe
    O4 - HKCU\..\Run: [Nda] C:\WINDOWS\Rqe.exe
    O4 - HKCU\..\Run: [Vck] C:\WINDOWS\Jhq.exe
    O4 - HKCU\..\Run: [Ivt] C:\WINDOWS\Tju.exe
    O4 - HKCU\..\Run: [Akq] C:\WINDOWS\Vst.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    0
  12. moe
     
    c'est bizarre, ils reviennent avec un nom different à chaque redemarrage.

    est ce que tu peux faire analyser C:\WINDOWS\Vai.exe ici:
    http://virusscan.jotti.org/

    poste le resultat du scan
    0
  13. Nicolas
     
    Y'a du rififi la dessous...

    Scanner results
    AntiVir Found nothing
    Avast Found nothing
    AVG Antivirus Found Clicker.7.T
    BitDefender Found nothing
    ClamAV Found nothing
    Dr.Web Found Trojan.Click.289
    F-Prot Antivirus Found W32/Backdoor.AZT
    Fortinet Found nothing
    Kaspersky Anti-Virus Found Trojan-Clicker.Win32.Spywad.b
    mks_vir Found Trojan.Clicker.Spywad.B
    NOD32 Found Win32/TrojanClicker.Spywad.B
    Norman Virus Control Found Sandbox: W32/Malware; [ General information ]

    * Creating several executable files on hard-drive.
    * File length: 9729 bytes.

    [ Changes to filesystem ]
    * Creates file C:\WINDOWS\Bpg.exe.
    * Creates file C:\WINDOWS\popup.html.
    * Creates file C:\WINDOWS\desktop.html.
    * Creates directory C:\Desktop.
    * Creates file C:\WINDOWS\Tcr.html.
    * Creates file C:\WINDOWS\SYSTEM\Apo.exe.
    * Creates file C:\WINDOWS\SYSTEM\Uak.exe.
    * Creates file C:\WINDOWS\Fnp.exe.
    * Creates file C:\WINDOWS\Pjh.exe.
    * Creates file C:\WINDOWS\Tef.exe.
    * Creates file C:\WINDOWS\SYSTEM\Lob.exe.
    * Creates file C:\WINDOWS\Ftu.exe.
    * Creates file C:\WINDOWS\SYSTEM\Imv.exe.
    * Creates file C:\WINDOWS\SYSTEM\Evq.exe.
    * Creates file C:\WINDOWS\SYSTEM\Neq.exe.
    * Creates file C:\WINDOWS\SYSTEM\Tne.exe.
    * Creates file C:\WINDOWS\SYSTEM\Bmj.exe.
    * Creates file C:\WINDOWS\SYSTEM\Tvb.exe.
    * Creates file C:\WINDOWS\Fee.exe.
    * Creates file C:\WINDOWS\SYSTEM\Mot.exe.
    * Creates file C:\WINDOWS\SYSTEM\Paj.exe.
    * Creates file C:\WINDOWS\Lrq.exe.
    * Creates file C:\WINDOWS\Dpe.exe.
    * Creates file C:\WINDOWS\Ndk.exe.
    * Creates file C:\WINDOWS\Ash.exe.
    * Creates file C:\WINDOWS\SYSTEM\Jkj.exe.
    * Creates file C:\WINDOWS\Kih.exe.
    * Creates file C:\WINDOWS\SYSTEM\Aje.exe.
    * Creates file C:\WINDOWS\Vcu.exe.
    * Creates file C:\WINDOWS\SYSTEM\Ham.exe.
    * Creates file C:\WINDOWS\Tfp.exe.
    * Creates file C:\WINDOWS\Fhf.exe.
    * Creates file C:\WINDOWS\SYSTEM\Clq.exe.
    * Creates file C:\WINDOWS\Ajp.exe.
    * Creates file C:\WINDOWS\Vof.exe.
    * Creates file C:\WINDOWS\Mid.exe.
    * Creates file C:\WINDOWS\SYSTEM\Lmd.exe.
    * Creates file C:\WINDOWS\SYSTEM\Dhc.exe.
    * Creates file C:\WINDOWS\Tes.exe.
    * Creates file C:\WINDOWS\SYSTEM\Bir.exe.
    * Creates file C:\WINDOWS\SYSTEM\Ltk.exe.
    VBA32 Found Trojan-Clicker.Win32.Spywad.b

    Que faire?
    0
  14. Nicolas
     
    J'ai une fenêtre qui vient encore d'apparaître avec le fond d'écran rouge danger spyware avec l'adresse C:\WINDOWS\Umd.html et la fois d'avant je l'ai déjà eu avec une autre adresse html.

    J'ai l'impression que c'est ça qui me remet le défaut!!!

    Pourquoi Norton 2005 n'y voit que du feu et ne bloque pas l'entrée?
    0
    1. tricker
       
      salut
      pourquoi norton ne vois rien, parce que la plupart des vir et autres sont conçu pour passer norton alors avant de te reconnecté protége toi mieux
      car sur la toile, il y a des sauvages qui se font un malin plaisir de casser les pieds au lieu de s'occupé de leurs femmes tanpis pour eux s'il sont cocu et de partout ha ha ha
      0
  15. moe
     
    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    cocher " afficher les fichiers et dossiers cachés "
    décocher " masquer les extentions des fichiers dont le type est connu
    décocher " masquer les fichiers protégés du système"

    Puis, vraiment important:
    - Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios)

    ---------------------------------------------

    Vérifie si ce ou ces procéssus apparaissent dans le gestionnaire des taches.(CTRL+ALT+SUPPR)
    S'ils sont présent: clic droit dessus puis clic sur "terminer le processus"

    Vai.exe

    Lance hijackthis et Fixe:
    (cocher au début de chaques lignes valider avec fix checked)

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr8.hpwis.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ez-finder.com/?1161

    O4 - HKLM\..\Run: [Goo] C:\WINDOWS\Vai.exe
    O4 - HKLM\..\Run: [Nda] C:\WINDOWS\Rqe.exe
    O4 - HKLM\..\Run: [Vck] C:\WINDOWS\Jhq.exe
    O4 - HKLM\..\Run: [Ivt] C:\WINDOWS\Tju.exe
    O4 - HKLM\..\Run: [Akq] C:\WINDOWS\Vst.exe
    O4 - HKCU\..\Run: [Goo] C:\WINDOWS\Vai.exe
    O4 - HKCU\..\Run: [Nda] C:\WINDOWS\Rqe.exe
    O4 - HKCU\..\Run: [Vck] C:\WINDOWS\Jhq.exe
    O4 - HKCU\..\Run: [Ivt] C:\WINDOWS\Tju.exe
    O4 - HKCU\..\Run: [Akq] C:\WINDOWS\Vst.exe

    Rechercher et supprimer si présent:

    C:\WINDOWS\Vai.exe
    C:\WINDOWS\Rqe.exe
    C:\WINDOWS\Jhq.exe
    C:\WINDOWS\Tju.exe
    C:\WINDOWS\Vst.exe

    puis vérifie et supprime un par un tout les processus cités dans le rapport d'analyse que tu viens de faire(s'ils sont présents):

    C:\WINDOWS\Bpg.exe.
    C:\WINDOWS\Tcr.html.
    C:\WINDOWS\SYSTEM\Apo.exe.
    C:\WINDOWS\SYSTEM\Uak.exe.
    C:\WINDOWS\Fnp.exe.
    C:\WINDOWS\Pjh.exe.
    C:\WINDOWS\Tef.exe.
    C:\WINDOWS\SYSTEM\Lob.exe.
    C:\WINDOWS\Ftu.exe.
    C:\WINDOWS\SYSTEM\Imv.exe.
    C:\WINDOWS\SYSTEM\Evq.exe.
    C:\WINDOWS\SYSTEM\Neq.exe.
    C:\WINDOWS\SYSTEM\Tne.exe.
    C:\WINDOWS\SYSTEM\Bmj.exe.
    C:\WINDOWS\SYSTEM\Tvb.exe.
    C:\WINDOWS\Fee.exe.
    C:\WINDOWS\SYSTEM\Mot.exe.
    C:\WINDOWS\SYSTEM\Paj.exe.
    C:\WINDOWS\Lrq.exe.
    C:\WINDOWS\Dpe.exe.
    C:\WINDOWS\Ndk.exe.
    C:\WINDOWS\Ash.exe.
    C:\WINDOWS\SYSTEM\Jkj.exe.
    C:\WINDOWS\Kih.exe.
    C:\WINDOWS\SYSTEM\Aje.exe.
    C:\WINDOWS\Vcu.exe.
    C:\WINDOWS\SYSTEM\Ham.exe.
    C:\WINDOWS\Tfp.exe.
    C:\WINDOWS\Fhf.exe.
    C:\WINDOWS\SYSTEM\Clq.exe.
    C:\WINDOWS\Ajp.exe.
    C:\WINDOWS\Vof.exe.
    C:\WINDOWS\Mid.exe.
    C:\WINDOWS\SYSTEM\Lmd.exe.
    C:\WINDOWS\SYSTEM\Dhc.exe.
    C:\WINDOWS\Tes.exe.
    C:\WINDOWS\SYSTEM\Bir.exe.
    C:\WINDOWS\SYSTEM\Ltk.exe.
    C:\WINDOWS\popup.html.
    C:\WINDOWS\desktop.html.
    C:\Desktop

    je pense que SYSTEM= dossier System32, mais verifie dans les 2

    je sais que ca risque d'etre long, mais prend le temps de les vérifier un par un.
    tu peux faire un copier coller du post dans le bloc note et l'enregistrer pour pouvoir etre sur de ne rien oublier.

    Ensuite:

    Fais un nettoyage des fichiers temps...etc avec ce programme:
    http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

    ou manuellement:

    Supprimer tout les fichiers à l'intérieur des dossiers suivants:

    * C:\Temp
    * C:\Windows\Temp
    * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
    * C:\Documents and Settings\tous les utilisateurs\Local Settings\Temp
    * C:\Documents and Settings\tous les utilisateurs \Local Settings\Temporary Internet Files
    * C:\Documents and Settings\tous les utilisateurs \Cookies
    * Vider la corbeille !

    Nettoyage du disque:
    Démarrer > Tous les programmes > accessoires > outils système > nettoyage du disque
    cocher:
    - fichiers et programmes téléchargés
    - fichiers internet temporaires
    - corbeille
    - fichier temporaires
    valider ok

    -----------------------------

    Redemarre normalement et reposte un log hijack pour vérifier l'évolution

    Ne pas oublier après les manips de recocher " masquer les fichiers protégés du système" dans les options des dossiers

    a+
    0