Sujet Précédent Sujet Suivant

[click me] plus problème avec hijackthis

Résolu/Fermé
Lilou66 Messages postés 14 Date d'inscription mercredi 4 mai 2005 Statut Membre Dernière intervention 4 mars 2006 - 4 mai 2005 à 20:37
 Utilisateur anonyme - 12 juin 2005 à 12:56
Bonjour à tous!

Comme pas mal de personnes apparemment, j'ai le virus Click Me (france.exe) qui a infecté mon ordinateur, qui est sous windows xp.
J'ai fait un scan avec Spybot SD, qui trouve des fichiers infectés qu'il ne peut pas supprimer, même en mode sans échec.
Il y a des pop-up qui apparaissent pendant le surf, avec "search for viagra, mortgage,...", enfin ça dépend des fois.
Quand je démarre l'ordi, il ya une fenêtre qui commence par "this call is not free...". En gros on me demande si je veux faire composer un numéro, surement surtaxé. je n'ai plus accès à la barre google, et windows me dit qu'il ne trouve plus le fichier smsse.exe, je ne sais pas si ça a un rapport...
Le gros problème, c'est que j'ai vu sur pas mal de site qu'il fallait utiliser hijackthis; c'est à peine si je sais ce que c'est, donc quand je lis en plus que c'est assez délicat à installer et qu'il faut dézipper des trucs et des machins, alors là je panique complètement...
Est-ce que vous pourriez m'expliquer SVP ?
Merci d'avance ;-)
A voir également:

33 réponses

  • 1
  • 2
Réponse 1 / 33
moe
4 mai 2005 à 21:01
salut lilou

Pas besoin d'installer hijackthis, il te suffit juste de creer un dossier ou tu le placera apres l'avoir telechargé, pour qu'il puisse creer des sauvegardes.
Pour le dezipper, rien de plus facile une fois que tu l'as telechargé tu fais un clic droit dessus et tu clic sur extraire tout.
Une fenetre va s'ouvrir pour te demandé ou tu veux le mettre, et la tu choisis le dossier que tu as creer pour lui.

lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.

Tu peux le telecharger ici sur le site de son createur:
http://www.merijn.org/files/hijackthis.zip

a+
0
Réponse 2 / 33
Lilou66 Messages postés 14 Date d'inscription mercredi 4 mai 2005 Statut Membre Dernière intervention 4 mars 2006 1
4 mai 2005 à 21:14
merci beaucoup d'avoir répondu aussi vite! j'ai fait ce que tu m'a dit, voila ce que ça donne:

Logfile of HijackThis v1.99.1
Scan saved at 21:07:52, on 04/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
C:\Program Files\EzButton\CplBTQ00.EXE
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\Toshiba Controls\CpRmtKey.EXE
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Lise 1\Local Settings\Temporary Internet Files\Content.IE5\GTMRO927\hijackthis[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe smsse.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\svchost2.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Program Files\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [CpRmtKey] "C:\Program Files\Toshiba Controls\CpRmtKey.EXE"
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetph32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\france.exe -N
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5862B1A-D882-4464-8C5D-12BA779F89B0}: NameServer = 194.117.200.10 194.117.200.15
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 3 / 33
moe
4 mai 2005 à 21:36
salut lilou66

j'insiste pour hijackthis, met le dans un dossier que tu as creer par avance.
Pour l'instant tu es entrain de le lancer a partir d'un fichier internet temporaire

ensuite
telecharge LQfix
http://users.pandora.be/bluepatchy/LQfix.zip
Dezippe le sur ton bureau mais ne l'utilise pas pour l'instant.

Deconnecte toi d'internet.

 Vide le cache d'Internet Explorer et supprime les cookies:

* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] en cochant la case "Supprimer tout le contenu hors connexion"

-= 1 =-
Pour ne pas se retrouver avec des points de restau systeme infectés il vaut mieux la désactiver avant.

Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher la case "désactiver la restauration système".
valider
(accepte le redemarrage).

-= 2 =-
Les manips doivent etres faites en mode sans echecs
Redémarrer en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8.
Choisis le mode sans échec dans les options et valide avec entrée.

-= 3 =-
Rendre visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
Valide

_-_-_-_-_-_-_-_-_-_-

 Lance hijackthis et clic sur "do a system scan only":
cocher la case au début des lignes suivantes:

F2 - REG:system.ini: Shell=Explorer.exe smsse.exe

O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\svchost2.dll (file missing)
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetph32.exe
O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\france.exe -N
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

valider avec [fix checked]

tu peux refermer hijackthis
-------------------------

 Rechercher et supprimer si présent:

Dans le cas ou tu utiliserais la fonction Rechercher:
Assure toi que dans:
Tous les fichiers et tous les dossiers >> Options avancées
• Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
• Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
• Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !

Supprime:

C:\WINDOWS\System32\france.exe
C:\Documents and Settings\Lise 1\bureau\Click Me.lnk
C:\Documents and Settings\Lise 1\menu demarrer\Click Me.lnk
C:\Documents and Settings\Lise 1\menu demarrer\Uninstall Click Me.lnk
smsse.exe <= s'il existe

ensuite tres important:

Supprimer les fichiers temporaires:

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Temp
* C:\Windows\Temp
vider tout le contenu des dossiers en gras.

* Ne pas oublier de vider la corbeille !

------------------------------------------------

Maintenant lance le petit prog que tu vient de telecharger en double cliquant sur lqfix.bat

------------------------------

Redemarre normalement et reposte un log hijack pour vérifier l'évolution

Ne pas oublier après les manips de recocher" masquer les fichiers protégés du système" dans les options des dossiers

a+
0
Réponse 4 / 33
Lilou66 Messages postés 14 Date d'inscription mercredi 4 mai 2005 Statut Membre Dernière intervention 4 mars 2006 1
4 mai 2005 à 21:53
là je vais vraiment passer pour une c**** : comment fait-on pour créer le dossier et mettre hijackthis dedans ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 33
moe
4 mai 2005 à 22:03
on va prendre un exemple:

va dans mes documents, puis tu fais un fais un clic droit dans un espace libre et tu clic sur nouveau
Dans la liste tu choisis dossier puis tu luis donne un nom, par exemple hijak.

Maintenant tu clic sur le lien pour telecharger hijackthis puis tu clic sur enregistrer.
Dans la fenetre qui s'ouvre, tu choisis mes documents (a gauche) et tu double clic sur le dossier hijack que tu viens de creer.
il te reste plus qu'a valider en cliquant sur enregistrer.

a+
0
Réponse 6 / 33
Lilou66 Messages postés 14 Date d'inscription mercredi 4 mai 2005 Statut Membre Dernière intervention 4 mars 2006 1
4 mai 2005 à 22:36
je t'envoie ce que ça donne; je n'y comprend strictement rien, mais vu mon niveau en informatique ça m'étonne pas vraiment...

Logfile of HijackThis v1.99.1
Scan saved at 22:27:48, on 04/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
C:\Program Files\EzButton\CplBTQ00.EXE
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\Toshiba Controls\CpRmtKey.EXE
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Lise 1\Mes documents\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe smsse.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\svchost2.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Program Files\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [CpRmtKey] "C:\Program Files\Toshiba Controls\CpRmtKey.EXE"
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetph32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\france.exe -N
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5862B1A-D882-4464-8C5D-12BA779F89B0}: NameServer = 194.117.200.10 194.117.200.15
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 7 / 33
moe
4 mai 2005 à 22:42
toujours les memes, il faut recommencer en faisant point par point la manip du message 3.
imprime la ou fais un copier coller dans le bloc note pour etre sur de ne rien oublier.

a+
0
lilou66
7 mai 2005 à 21:38
si c'est les mêmes c'est normal je n'avais encore rien fait! C'était juste pour être sure que j'avais mis hijackthis au bon endroit! apparemment ça doit aller ;-)
j'ai fait tout ce que tu m'a dit, pour l'instant je n'ai plus l'icone verte au démarrage ni de pop-up pendant le surf!

Logfile of HijackThis v1.99.1
Scan saved at 21:27:28, on 07/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
C:\Program Files\EzButton\CplBTQ00.EXE
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\Toshiba Controls\CpRmtKey.EXE
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Lise 1\Mes documents\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Program Files\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [CpRmtKey] "C:\Program Files\Toshiba Controls\CpRmtKey.EXE"
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5862B1A-D882-4464-8C5D-12BA779F89B0}: NameServer = 194.117.200.10 194.117.200.15
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 8 / 33
moe
7 mai 2005 à 21:57
Salut lilou66

T'inquiète, tu avais bien mis hijack au bon endroit.
Apparement il n'y a plus de trace de clic me dans le log.
Je vois que tu as spybot et l'antispy de microsoft, met les à jours et fais un scan avec.
S'ils ne trouvent rien, tu réactive la restauration systeme:
Clic droit sur poste de travail > propriétés > onglet restauration système
puis décocher la case "désactiver la restauration système".
valider
Ne pas oublier de mettre à jours windows: http://v5.windowsupdate.microsoft.com

Content que tu te sois débarrassé de clic me !!

a+
0
lilou66
7 mai 2005 à 22:56
l'antispy de microsoft ne trouve rien, par contre spybot trouve "ISTbar.Slotch" et "DSO Exploit", il n'arrive pas à les supprimer; je me demande si ça a un rapport avec click Me ?
0
Réponse 9 / 33
moe
7 mai 2005 à 23:00
salut


Pour dso exploit, c'est pas grave, c'est un bug bien connu de spybot
Pour ISTbar.Slotch, c'est une entree dans le registre ou bien un fichier ?
0
Réponse 10 / 33
lilou66
7 mai 2005 à 23:13
comme je ne sais pas exactement ce que c'est, je t'envoie le résultat de Spybot:
User settings
HKEY_USERS\S-1-5-18\Software\ISTbar Registry key

User settings
HKEY_USERS\DEFAULT\Software\ISTbar Registry key
0
Réponse 11 / 33
moe
7 mai 2005 à 23:33
salut lilou

Apparement ce sont des traces dans le registre d'un spy que tu as du supprimer depuis, sinon il t'aurais détecté des fichiers aussi.

Essaye de repasser spybot en mode sans echecs et s'il ne peut toujours pas:
il faudra que tu les supprime directement en allant dans le registre.

Demarrer >> executer tape regedit et valide

Déplace toi à l'aide du signe + sur ces clés:

HKEY_USERS\S-1-5-18\Software\clic droit sur ISTbar puis clic sur supprimer

HKEY_USERS\DEFAULT\Software\clic droit sur ISTbar puis clic sur supprimer

a+
0
Réponse 12 / 33
lilou66
7 mai 2005 à 23:54
super il n'ya plus de problème!! franchement je te remercie de ton aide sans cela je n'y serais pas arrivée; c'est vraiment génial ce que vous faites sur ce forum! bravo et merci !!

Bye! ;-)
0
Réponse 13 / 33
moe
8 mai 2005 à 00:01
Vraiment content pour toi, lilou

n'oublie pas de reactiver la restauration systeme, si tu ne l'a pas déjà fait.

a+ et bon surf
0
Réponse 14 / 33
fafajojo
8 juin 2005 à 18:05
Salut !
J'ai lu avec attention l'aide personnalisée pour liloo66 ! Trés interessant.
Mon soucis itou c'est cette satanée clickme ! Qui génère un autre problème : j'ai 5 minutes d'internet (ADSL FREE) et aprés : impossible d'afficher la page ! Donc actualiser, actualiser, actualiser...etc... et ca affiche une fois sur 10 !
Mon soucis c'est de récupérer une connection saine et virer cette sal...ie de clickme!

A toutes fins utiles, voici mon Log HIJACKTHIS


Logfile of HijackThis v1.99.1
Scan saved at 17:52:41, on 08/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\setup32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Wcgopsvc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\CapFax.EXE
C:\Program Files\Motorola\A925 Desktop Suite\ECTaskScheduler.exe
C:\Program Files\Motorola\A925 Desktop Suite\ConnMngmntBox.exe
C:\Program Files\Microsoft Office\Office\Office\OSA.EXE
C:\PROGRA~1\Motorola\A925DE~1\Elogerr.exe
C:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Motorola\A925DE~1\BROADC~1.EXE
C:\PROGRA~1\Motorola\A925DE~1\SCRFS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\crys\Bureau\HIJACKTHIS\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://edit.europe.yahoo.com/config/mail?.intl=fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe,setup32.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [eDonkey2000] C:\Program Files\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [RIP PopUp] C:\Program Files\RIP PopUp\nopopup.exe /startup
O4 - HKLM\..\Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NhVnAOU] C:\WINDOWS\sehrg.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\temp532.exe -N
O4 - HKLM\..\Run: [CapFax] C:\WINDOWS\CapFax.EXE
O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe
O4 - HKCU\..\Run: [NVIDIA Video drivers] video_32sD.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\Office\OSA.EXE
O4 - Global Startup: A925 Task Scheduler.lnk = ?
O4 - Global Startup: A925 Connection Manager.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\FRONTP~1\FP2003\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Program Files2\AIM.EXE (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/236775ffbf45f28d4014/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117640831220
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{37A2FC23-B570-4B5F-842C-D11C78C3F025}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

C'est grave docteur ?

Merci pour viotre diagnostique
0
Réponse 15 / 33
Utilisateur anonyme
8 juin 2005 à 18:44
salut fafajojo

Est ce que tu peux faire analyser ce fichier C:\WINDOWS\Wcgopsvc.exe ici:
http://virusscan.jotti.org/
et poster le resultat.
Ensuite on verra pour ton log

a+
0
fafajojo
9 juin 2005 à 08:55
Salut Moe31 et merci pour ta prompte réponse !
A propos tout le monde semble se connaitre dans les parages du forum... tant mieux !!! plus on est nombreux, plus ma connexion sera fiable ! lol !!!
Bien, bien, bien, voici le résultat de l'opération précédemment décrite :

Service load: 0% 100%

File: Wcgopsvc.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 7517de15ed3eeeac2ed4f66df9fec4a6
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found nothing

Apparemment FOUND NOTHING à tous les niveaux !

J'attends la suite avec véhémmence !

Xo !
0
Réponse 16 / 33
Utilisateur anonyme
8 juin 2005 à 18:45
moe et de retour !! hourra

salut moe, content de te retrouver !!
0
Réponse 17 / 33
Utilisateur anonyme
8 juin 2005 à 18:58
salut regis ca va ?

Pas pu etre trop présent cette derniere semaine, mais content d'etre à nouveau parmis vous !!

a+
0
Réponse 18 / 33
Utilisateur anonyme
8 juin 2005 à 19:34
oui ca va merci
j ai du prendre le relai lol

a+
0
Réponse 19 / 33
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
9 juin 2005 à 09:21
salut,

et oui Moe c'est un des pilliers, de presence, mais aussi de savoir.

Je pense qu'il ne doit pas etre present à cette heure aussi, je completerai cses demandes:

en effet rien à dire sur le fichier qu'il t'a signalé, pourrais tu refaire cette analyse sur
http://virusscan.jotti.org
avec les fichiers suivants:

C:\WINDOWS\System32\setup32.exe
et
C:\WINDOWS\System32\temp532.exe -N

je pense qu'il y en a un au moins de pas terrible.

A+

Jean
0
Réponse 20 / 33
Utilisateur anonyme
9 juin 2005 à 12:55
salut jean, fafajojo

bah, un peu moins présent depuis 15 jours lol (obligations).

pour fafa: reposte un hijack apres avoir posté le résultat de l'analyse des fichiers que jean t'a demandés de scanner.

a+
0

Discussions similaires

Site de confiance ou non ?
mlle_so -
Jaffeli -

25 réponses
MSI CLICK BIOS 5
Theo4612 -
john99 -

9 réponses
Info visual-click.com
monts59 -
mpmp93 -

1 réponse
La magie d'un click?
Plouf387 -
jordane45 -

5 réponses
by click downloader
Danablain -
oblixx -

5 réponses