[click me] plus problème avec hijackthis Résolu

Question

Bonjour à tous!Comme pas mal de personnes apparemment, j'ai le virus Click Me (france.exe) qui a infecté mon ordinateur, qui est sous windows xp.J'ai fait un scan avec Spybot SD, qui trouve des fichiers infectés qu'il ne peut pas supprimer, même en mode sans échec.Il y a des pop-up qui apparaissent pendant le surf, avec "search for viagra, mortgage,...", enfin ça dépend des fois.Quand je démarre l'ordi, il ya une fenêtre qui commence par "this call is not free...". En gros on me demande si je  veux faire composer un numéro, surement surtaxé. je n'ai plus accès à la barre google, et windows me dit qu'il ne trouve plus le fichier smsse.exe, je ne sais pas si ça a un rapport...Le gros problème, c'est que j'ai vu sur pas mal de site qu'il fallait utiliser hijackthis; c'est à peine si je sais ce que c'est, donc quand je lis en plus que c'est assez délicat à installer et qu'il faut dézipper des trucs et des machins, alors là je panique complètement...Est-ce que vous pourriez m'expliquer SVP ?Merci d'avance ;-)

moe · Answer

salut lilouPas besoin d'installer hijackthis, il te suffit juste de creer un dossier ou tu le placera apres l'avoir telechargé, pour qu'il puisse creer des sauvegardes.Pour le dezipper, rien de plus facile une fois que tu l'as telechargé tu fais un clic droit dessus et tu clic sur extraire tout.Une fenetre va s'ouvrir pour te demandé ou tu veux le mettre, et la tu choisis le dossier que tu as creer pour lui.lance le puis:clic sur "do a system scan and save logfile" et pas autre choseLe bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.Tu peux le telecharger ici sur le site de son createur:http://www.merijn.org/files/hijackthis.zip a+

Lilou66 · Answer

merci beaucoup d'avoir répondu aussi vite! j'ai fait ce que tu m'a dit, voila ce que ça donne:Logfile of HijackThis v1.99.1Scan saved at 21:07:52, on 04/05/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\WINDOWS\Explorer.exeC:\Program Files\TOSHIBA\Power Management\CePMTray.exeC:\Program Files\EzButton\CplBTQ00.EXEC:\Program Files\TOSHIBA\E-KEY\CeEKey.exeC:\Program Files\Toshiba Controls\CpRmtKey.EXEC:\Program Files\TOSHIBA\ConfigFree\NDSTray.exeC:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXEC:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exeC:\Program Files\Fichiers communs\Talkway\vmtalk.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\Microsoft AntiSpyware\gcasServ.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Club-Internet\Lanceur\lanceur.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Spybot - Search & Destroy\SpybotSD.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Lise 1\Local Settings\Temporary Internet Files\Content.IE5\GTMRO927\hijackthis[1]\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-InternetR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe smsse.exeO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\svchost2.dll (file missing)O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exeO4 - HKLM\..\Run: [CplBTQ00] C:\Program Files\EzButton\CplBTQ00.EXEO4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exeO4 - HKLM\..\Run: [CpRmtKey] "C:\Program Files\Toshiba Controls\CpRmtKey.EXE"O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exeO4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorunO4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exeO4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exeO4 - HKLM\..\Run: [adiras] adiras.exeO4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetph32.exeO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\france.exe  -NO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dllO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{C5862B1A-D882-4464-8C5D-12BA779F89B0}: NameServer = 194.117.200.10 194.117.200.15O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

moe · Answer

salut lilou66 j'insiste pour hijackthis, met le dans un dossier que tu as creer par avance. Pour l'instant tu es entrain de le lancer a partir d'un fichier internet temporaire ensuite telecharge LQfix http://users.pandora.be/bluepatchy/LQfix.zip Dezippe le sur ton bureau mais ne l'utilise pas pour l'instant. Deconnecte toi d'internet. Vide le cache d'Internet Explorer et supprime les cookies: * Panneau de configuration >> Options internet >> Onglet "Général" - Clic sur [supprimer les cookies] - Clic sur [Supprimer les fichiers] en cochant la case "Supprimer tout le contenu hors connexion" -= 1 =- Pour ne pas se retrouver avec des points de restau systeme infectés il vaut mieux la désactiver avant. Clic droit sur poste de travail > propriétés > onglet restauration système puis cocher la case "désactiver la restauration système". valider (accepte le redemarrage). -= 2 =- Les manips doivent etres faites en mode sans echecs Redémarrer en mode sans échec Laisse passer l'écran du bios, puis tapote sur la touche F8. Choisis le mode sans échec dans les options et valide avec entrée. -= 3 =- Rendre visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher " afficher les fichiers et dossiers cachés " Décocher " masquer les extentions des fichiers dont le type est connu Décocher " masquer les fichiers protégés du système" Valide _-_-_-_-_-_-_-_-_-_- Lance hijackthis et clic sur "do a system scan only": cocher la case au début des lignes suivantes: F2 - REG:system.ini: Shell=Explorer.exe smsse.exe O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\svchost2.dll (file missing) O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetph32.exe O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\france.exe -N O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web elated.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web elated.htm valider avec [fix checked] tu peux refermer hijackthis ------------------------- Rechercher et supprimer si présent: Dans le cas ou tu utiliserais la fonction Rechercher: Assure toi que dans: Tous les fichiers et tous les dossiers >> Options avancées • Rechercher dans les dossiers systemes <- DOIT ETRE COCHE ! • Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE ! • Rechercher dans les sous-dossiers <- DOIT ETRE COCHE ! Supprime: C:\WINDOWS\System32\france.exe C:\Documents and Settings\Lise 1\bureau\Click Me.lnk C:\Documents and Settings\Lise 1\menu demarrer\Click Me.lnk C:\Documents and Settings\Lise 1\menu demarrer\Uninstall Click Me.lnk smsse.exe <= s'il existe ensuite tres important: Supprimer les fichiers temporaires: * C:\Documents and Settings on compte\Local Settings\Temp * C:\Documents and Settings ous les autres comptes\Local Settings\Temp * C:\Temp * C:\Windows\Temp vider tout le contenu des dossiers en gras. * Ne pas oublier de vider la corbeille ! ------------------------------------------------ Maintenant lance le petit prog que tu vient de telecharger en double cliquant sur lqfix.bat ------------------------------ Redemarre normalement et reposte un log hijack pour vérifier l'évolution Ne pas oublier après les manips de recocher" masquer les fichiers protégés du système" dans les options des dossiers a+

Lilou66 · Answer

là je vais vraiment passer pour une c**** : comment fait-on pour créer le dossier et mettre hijackthis dedans ?

moe · Answer

on va prendre un exemple:va dans mes documents, puis tu fais un fais un clic droit dans un espace libre et tu clic sur nouveauDans la liste tu choisis dossier puis tu luis donne un nom, par exemple hijak.Maintenant tu clic sur le lien pour telecharger hijackthis puis tu clic sur enregistrer.Dans la fenetre qui s'ouvre, tu choisis mes documents (a gauche) et tu double clic sur le dossier hijack que tu viens de creer.il te reste plus qu'a valider en cliquant sur enregistrer.a+

Lilou66 · Answer

je t'envoie ce que ça donne; je n'y comprend strictement rien, mais vu mon niveau en informatique ça m'étonne pas vraiment...Logfile of HijackThis v1.99.1Scan saved at 22:27:48, on 04/05/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\WINDOWS\Explorer.exeC:\Program Files\TOSHIBA\Power Management\CePMTray.exeC:\Program Files\EzButton\CplBTQ00.EXEC:\Program Files\TOSHIBA\E-KEY\CeEKey.exeC:\Program Files\Toshiba Controls\CpRmtKey.EXEC:\Program Files\TOSHIBA\ConfigFree\NDSTray.exeC:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXEC:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exeC:\Program Files\Fichiers communs\Talkway\vmtalk.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\Program Files\Microsoft AntiSpyware\gcasServ.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Club-Internet\Lanceur\lanceur.exeC:\WINDOWS\System32\svchost.exeC:\Documents and Settings\Lise 1\Mes documents\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-InternetR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe smsse.exeO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\svchost2.dll (file missing)O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exeO4 - HKLM\..\Run: [CplBTQ00] C:\Program Files\EzButton\CplBTQ00.EXEO4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exeO4 - HKLM\..\Run: [CpRmtKey] "C:\Program Files\Toshiba Controls\CpRmtKey.EXE"O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exeO4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorunO4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exeO4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exeO4 - HKLM\..\Run: [adiras] adiras.exeO4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetph32.exeO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\france.exe  -NO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dllO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{C5862B1A-D882-4464-8C5D-12BA779F89B0}: NameServer = 194.117.200.10 194.117.200.15O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

moe · Answer

toujours les memes, il faut recommencer en faisant point par point la manip du message 3.imprime la ou fais un copier coller dans le bloc note pour etre sur de ne rien oublier.a+

moe · Answer

Salut lilou66T'inquiète, tu avais bien mis hijack au bon endroit.Apparement il n'y a plus de trace de clic me dans le log.Je vois que tu as spybot et l'antispy de microsoft, met les à jours et fais un scan avec.S'ils ne trouvent rien, tu réactive la restauration systeme:Clic droit sur poste de travail > propriétés > onglet restauration système puis décocher la case "désactiver la restauration système". valider Ne pas oublier de mettre à jours windows: http://v5.windowsupdate.microsoft.comContent que tu te sois débarrassé de clic me !!a+

moe · Answer

salutPour dso exploit, c'est pas grave, c'est un bug bien connu de spybotPour ISTbar.Slotch, c'est une entree dans le registre ou bien un fichier ?

lilou66 · Answer

comme je ne sais pas exactement ce que c'est, je t'envoie le résultat de Spybot:User settingsHKEY_USERS\S-1-5-18\Software\ISTbar                     Registry keyUser settingsHKEY_USERS\DEFAULT\Software\ISTbar                    Registry key

moe · Answer

salut lilouApparement ce sont des traces dans le registre d'un spy que tu as du supprimer depuis, sinon il t'aurais détecté des fichiers aussi.Essaye de repasser spybot en mode sans echecs et s'il ne peut toujours pas:il faudra que tu les supprime directement en allant dans le registre.Demarrer >> executer tape regedit et valideDéplace toi à l'aide du signe + sur ces clés:HKEY_USERS\S-1-5-18\Software\clic droit sur ISTbar puis clic sur supprimerHKEY_USERS\DEFAULT\Software\clic droit sur ISTbar puis clic sur supprimera+

lilou66 · Answer

super il n'ya plus de problème!! franchement je te remercie de ton aide sans cela je n'y serais pas arrivée; c'est vraiment génial ce que vous faites sur ce forum! bravo et merci !!Bye! ;-)

moe · Answer

Vraiment content pour toi, liloun'oublie pas de reactiver la restauration systeme, si tu ne l'a pas déjà fait.a+ et bon surf

fafajojo · Answer

Salut !J'ai lu avec attention l'aide personnalisée pour liloo66 ! Trés interessant.Mon soucis itou c'est cette satanée clickme ! Qui génère un autre problème : j'ai 5 minutes d'internet (ADSL FREE) et aprés : impossible d'afficher la page ! Donc actualiser, actualiser, actualiser...etc... et ca affiche une fois sur 10 !Mon soucis c'est de récupérer une connection saine et virer cette sal...ie de clickme!A toutes fins utiles, voici mon Log HIJACKTHISLogfile of HijackThis v1.99.1Scan saved at 17:52:41, on 08/06/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\setup32.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\LEXBCES.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\LEXPPS.EXEC:\WINDOWS\Wcgopsvc.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\WINDOWS\CapFax.EXEC:\Program Files\Motorola\A925 Desktop Suite\ECTaskScheduler.exeC:\Program Files\Motorola\A925 Desktop Suite\ConnMngmntBox.exeC:\Program Files\Microsoft Office\Office\Office\OSA.EXEC:\PROGRA~1\Motorola\A925DE~1\Elogerr.exeC:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exeC:\PROGRA~1\Motorola\A925DE~1\BROADC~1.EXEC:\PROGRA~1\Motorola\A925DE~1\SCRFS.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZONELABS\vsmon.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\crys\Bureau\HIJACKTHIS\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://edit.europe.yahoo.com/config/mail?.intl=frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingF2 - REG:system.ini: UserInit=userinit.exe,setup32.exeO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initializeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exeO4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] WcgopsvcO4 - HKLM\..\Run: [eDonkey2000] C:\Program Files\eDonkey2000\eDonkey2000.exe -tO4 - HKLM\..\Run: [RIP PopUp] C:\Program Files\RIP PopUp
opopup.exe /startupO4 - HKLM\..\Run: [NVIDIA Video drivers] video_32sD.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [NhVnAOU] C:\WINDOWS\sehrg.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32	emp532.exe -NO4 - HKLM\..\Run: [CapFax] C:\WINDOWS\CapFax.EXEO4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exeO4 - HKCU\..\Run: [NVIDIA Video drivers] video_32sD.exeO4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\Office\OSA.EXEO4 - Global Startup: A925 Task Scheduler.lnk = ?O4 - Global Startup: A925 Connection Manager.lnk = ?O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\binesources\WebMenuImg.htmO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\FRONTP~1\FP2003\OFFICE11\REFIEBAR.DLLO9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Program Files2\AIM.EXE (file missing)O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cabO16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cabO16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/236775ffbf45f28d4014/netzip/RdxIE601_fr.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117640831220O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cabO16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_02) - O17 - HKLM\System\CCS\Services\Tcpip\..\{37A2FC23-B570-4B5F-842C-D11C78C3F025}: NameServer = 212.27.32.176,212.27.32.177O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXEO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exeC'est grave docteur ?Merci pour viotre diagnostique

Utilisateur anonyme · Answer

salut fafajojoEst ce que tu peux faire analyser ce fichier C:\WINDOWS\Wcgopsvc.exe  ici:http://virusscan.jotti.org/et poster le resultat.Ensuite on verra pour ton loga+

Utilisateur anonyme · Answer

moe et de retour !! hourrasalut moe, content de te retrouver !!

Utilisateur anonyme · Answer

salut regis ca va ?Pas pu etre trop présent cette derniere semaine, mais content d'etre à nouveau parmis vous !!a+

Utilisateur anonyme · Answer

oui ca va mercij ai du prendre le relai lola+

jean38 · Answer

salut,et oui Moe c'est un des pilliers, de presence, mais aussi de savoir.Je pense qu'il ne doit pas etre present à cette heure aussi, je completerai cses demandes:en effet rien à dire sur le fichier qu'il t'a signalé, pourrais tu refaire cette analyse sur http://virusscan.jotti.org avec les fichiers suivants:C:\WINDOWS\System32\setup32.exe etC:\WINDOWS\System32	emp532.exe -N je pense qu'il y en a un au moins de pas terrible.A+Jean

Utilisateur anonyme · Answer

salut jean, fafajojobah, un peu moins présent depuis 15 jours lol (obligations).pour fafa: reposte un hijack apres avoir posté le résultat de l'analyse des fichiers que jean t'a demandés de scanner.a+

fafajojo · Answer

Salut salut !
Hé bien !

Quel oeil ! Voici ce que le premier scan m'a sorti dans :
C:\WINDOWS\System32\setup32.exe

Service load: 0% 100%

File: setup32.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 9d63d6f01d5a1095774443178914cdce
Packers detected: EXESTEALTH
Scanner results
AntiVir Found Worm/Rbot.139684.1
ArcaVir Found Trojan.Rbot.Gen.139683.MX
Avast Found Win32:Rbot-VE
AVG Antivirus Found nothing
BitDefender Found Backdoor.RBot.D1235FBB
ClamAV Found nothing
Dr.Web Found Win32.HLLW.MyBot.based
F-Prot Antivirus Found nothing
Fortinet Found W32/RBot.2C6E-net
Kaspersky Anti-Virus Found Backdoor.Win32.Rbot.gen
NOD32 Found probably a variant of Win32/Rbot (probable variant)
Norman Virus Control Found W32/Spybot.KRT
VBA32 Found Backdoor.Win32.Rbot.gen

Voici maintenand le second scan :
C:\WINDOWS\System32\temp532.exe

Service load: 0% 100%

File: temp532.exe
Status: INFECTED/MALWARE
MD5 fa9f267b2c8456b0c9afdd9e6e9c7fea
Packers detected: -
Scanner results
AntiVir Found DIAL/Generic dialer
ArcaVir Found nothing
Avast Found Win32:Dialer-360
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found Dialer-300
Dr.Web Found not a virus Dialer.PlayGames
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan.Win32.Dialer.ir
NOD32 Found a variant of Win32/Dialer
Norman Virus Control Found nothing
VBA32 Found Trojan.Win32.Dialer.ir

Apparemment ya de la vermine chez moi !!!???
Ca serait ca qui ralentit les perfs de mon PC et surtout qui me déconnecte passé environ 1 heure de surf? Pasque les reboots, y en a marre !

Merci pour votre aide les gars !

J'attends l'insecticide !

fafa · Answer

J'oubliais : voici le Log HiJackThis aprés les deux scans !Logfile of HijackThis v1.99.1Scan saved at 16:48:53, on 09/06/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\setup32.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\LEXBCES.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\LEXPPS.EXEC:\WINDOWS\Wcgopsvc.exeC:\Program Files\RIP PopUp
opopup.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\WINDOWS\CapFax.EXEC:\Program Files\Motorola\A925 Desktop Suite\ECTaskScheduler.exeC:\Program Files\Motorola\A925 Desktop Suite\ConnMngmntBox.exeC:\Program Files\Microsoft Office\Office\Office\OSA.EXEC:\PROGRA~1\Motorola\A925DE~1\Elogerr.exeC:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exeC:\PROGRA~1\Motorola\A925DE~1\BROADC~1.EXEC:\PROGRA~1\Motorola\A925DE~1\SCRFS.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZONELABS\vsmon.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\crys\Bureau\HIJACKTHIS\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://edit.europe.yahoo.com/config/mail?.intl=frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: UserInit=userinit.exe,setup32.exeO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initializeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exeO4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] WcgopsvcO4 - HKLM\..\Run: [eDonkey2000] C:\Program Files\eDonkey2000\eDonkey2000.exe -tO4 - HKLM\..\Run: [RIP PopUp] C:\Program Files\RIP PopUp
opopup.exe /startupO4 - HKLM\..\Run: [NVIDIA Video drivers] video_32sD.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [NhVnAOU] C:\WINDOWS\sehrg.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [CapFax] C:\WINDOWS\CapFax.EXEO4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exeO4 - HKCU\..\Run: [NVIDIA Video drivers] video_32sD.exeO4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\Office\OSA.EXEO4 - Global Startup: A925 Task Scheduler.lnk = ?O4 - Global Startup: A925 Connection Manager.lnk = ?O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\FRONTP~1\FP2003\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cabO16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cabO16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117640831220O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cabO16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_02) - O17 - HKLM\System\CCS\Services\Tcpip\..\{37A2FC23-B570-4B5F-842C-D11C78C3F025}: NameServer = 212.27.32.176,212.27.32.177O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXEO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exeMerci les gars !

jean38 · Answer

donc dejà tu peux faire celà:

A/ si tu ne les as pas, telecharge:

Spybot S&D 1.4 et Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.html

puis sur
http://www.florensac-chasse-trap.com

pointe ton curseur sur « section virus » sans cliquer
click sur le menu qui apparaît et charge

CleanUp312.exe
ne les utilise pas tout de suite

met à jour spybot, ad aware sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

4) lance hijack et fixe les ligne
F2 - REG:system.ini: UserInit=userinit.exe,setup32.exe

5) suis les chemins et vire les prog

C:\WINDOWS\System32\setup32.exe
et si toujours là
C:\WINDOWS\System32\temp532.exe

execute cleanup312.exe

tu relances tes scan ad aware
puis spy boot
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.

Utilisateur anonyme · Answer

Salut Déconnecte toi d'internet: Vide le cache d'Internet Explorer et supprime les cookies: * Panneau de configuration >> Options internet >> Onglet "Général" - Clic sur [supprimer les cookies] - Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion" Valide avec ok Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver: Désactive la restauration systéme. Clic droit sur poste de travail > propriétés > onglet restauration système puis cocher "désactiver la restauration système". clic sur ok pour valider (accepte le redemarrage). Rend visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher " afficher les fichiers et dossiers cachés " Décocher " masquer les extentions des fichiers dont le type est connu Décocher " masquer les fichiers protégés du système" clic sur ok pour valider ouvre le gestionnaire des taches ctrl+alt+suppr clic droit sur setup32.exe et clic sur "terminer le processus" -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Lance hijackthis et clic sur "do a system scan only" cocher la case au début des lignes suivantes: F2 - REG:system.ini: UserInit=userinit.exe,setup32.exe O4 - HKLM\..\Run: [NVIDIA Video drivers] video_32sD.exe O4 - HKLM\..\Run: [NhVnAOU] C:\WINDOWS\sehrg.exe O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe O4 - HKCU\..\Run: [NVIDIA Video drivers] video_32sD.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing) valider avec [fix checked] -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Redémarre en mode sans échec Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows. Choisis le mode sans échec dans les options et valide avec entrée. Rechercher et supprimer: Dans le cas ou tu utiliserais la fonction Rechercher: Assure toi que dans: Tous les fichiers et tous les dossiers >> Options avancées • Rechercher dans les dossiers systemes <- DOIT ETRE COCHE ! • Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE ! • Rechercher dans les sous-dossiers <- DOIT ETRE COCHE ! Supprime en suivant le chemin des fichiers infectés si présent: C:\WINDOWS\sehrg.exe C:\WINDOWS\System32\setup32.exe video_32sD.exe -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Ensuite, tres important: :: Supprimer les fichiers temporaires :: * C:\Documents and Settings on compte\Local Settings\Temp * C:\Documents and Settings ous les autres comptes\Local Settings\Temp * C:\Temp * C:\Windows\Temp vider tout le contenu des dossiers en gras. :: Le contenu du dossier prefetch :: * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini * Ne pas oublier de vider la corbeille ! -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Redemarre normalement, et ensuite fais un scan AV ici: http://www.ravantivirus.com/scan/ Clic sur "To continue without subscribing click here" Accepte le control active x Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC". A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis Ne pas oublier après les manips de recocher" masquer les fichiers protégés du système" dans les options des dossiers a+

jean38 · Answer

salut Moe, quelle joie.... et etc etc

dis juste besoin de partir et j'ai un post de DOM en attente, j'ai jeté un oeil rapide et entre autre m... j'ai vu Issas (oui oui I)

pourrais tu le prendre en main ce serait sympa.

A toute

Jean

Utilisateur anonyme · Answer

salut jeanok, je regarde son loga+

fafa · Answer

Hello !Merci pour l'astuce !Bon, je crois que c'en est fini de la vermine !Voici le log:Logfile of HijackThis v1.99.1Scan saved at 09:27:01, on 10/06/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\LEXBCES.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\LEXPPS.EXEC:\WINDOWS\Explorer.EXEC:\WINDOWS\Wcgopsvc.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\WINDOWS\CapFax.EXEC:\Program Files\Motorola\A925 Desktop Suite\ECTaskScheduler.exeC:\Program Files\Motorola\A925 Desktop Suite\ConnMngmntBox.exeC:\Program Files\Microsoft Office\Office\Office\OSA.EXEC:\PROGRA~1\Motorola\A925DE~1\Elogerr.exeC:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exeC:\PROGRA~1\Motorola\A925DE~1\BROADC~1.EXEC:\PROGRA~1\Motorola\A925DE~1\SCRFS.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZONELABS\vsmon.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\crys\Bureau\HIJACKTHIS\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://edit.europe.yahoo.com/config/mail?.intl=frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: UserInit=userinit.exeO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initializeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exeO4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] WcgopsvcO4 - HKLM\..\Run: [eDonkey2000] C:\Program Files\eDonkey2000\eDonkey2000.exe -tO4 - HKLM\..\Run: [RIP PopUp] C:\Program Files\RIP PopUp
opopup.exe /startupO4 - HKLM\..\Run: [NVIDIA Video drivers] video_32sD.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [NhVnAOU] C:\WINDOWS\sehrg.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [CapFax] C:\WINDOWS\CapFax.EXEO4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exeO4 - HKCU\..\Run: [NVIDIA Video drivers] video_32sD.exeO4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\Office\OSA.EXEO4 - Global Startup: A925 Task Scheduler.lnk = ?O4 - Global Startup: A925 Connection Manager.lnk = ?O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\FRONTP~1\FP2003\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cabO16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cabO16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117640831220O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cabO16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_02) - O17 - HKLM\System\CCS\Services\Tcpip\..\{37A2FC23-B570-4B5F-842C-D11C78C3F025}: NameServer = 212.27.32.176,212.27.32.177O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXEO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exeMAIS... il y a toujuors mon probleme de connexion !C'est a dire qu'aprés un certain temps de connexion, "impossible d'afficher la page" apparait ! Je suis obligé d'actualiser une 10 aine de fois pour qu'un morceau de la page apparait (le reste de la page étant symbolisée par des petites croix rouges en "X") ! Et ca ca me gave !Ce n'est pas FREE, ce n'est pas la freebox, ce n'est pas ethernet, ce n'est pas la ligne, c'est une saloperie dans mon système... mais je sais pas comment le solutionner.J'en fait appel à votre sagesse et votre savoir !Merci pour votre précieuse aide !Fab

Utilisateur anonyme · Answer

salut fafa

dsl, mais ils sont toujours là!

Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe

Déconnecte toi d'internet:

Vide le cache d'Internet Explorer et supprime les cookies:

* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok

Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:

Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
clic sur ok pour valider
(accepte le redemarrage).

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:

O4 - HKLM\..\Run: [NhVnAOU] C:\WINDOWS\sehrg.exe
O4 - HKLM\..\RunServices: [NVIDIA Video drivers] video_32sD.exe
O4 - HKCU\..\Run: [NVIDIA Video drivers] video_32sD.exe

valider avec [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

1- Ferme tout les progs en cours

2- Double-clic sur KillBox.exe
une petite aide en image du prog ici:
http://cjoint.com/?gjwu5tBVAN

3- Selectionne "Delete on Reboot"
4- Copie et colle la 1ere ligne de la liste en gras et colle dans "Full Path of File to Delete"
5- clic sur la croix rouge
6- une fenetre va apparaitre pour confirmation clic sur YES
7- une seconde fenetre te demande si tu veux redemarrer clic sur NO

Recommence à l'étape 3 pour chaques lignes en gras.
Une fois le dernier fichier selectionnées, a l'étape 7 clic sur YES

LISTE:

C:\WINDOWS\system32\video_32sD.exe
C:\WINDOWS\sehrg.exe

Le pc devrait redemarrer tout seul, si ce n'est pas le cas redemarre le manuellement.

ensuite reposte un log hijackthis

a+

fafa · Answer

Bonsoir messieurs...

Ca fait en fait plus de 6 heurs que je suis connecté !
Apparemment... ca semble ok ! Je verrai bien lorsque je relancerai mon PC...
Dés demain j'essaye la petite manip décrite en haut !

Je vous tiens iformés... Bonne soirée !

Fab

fafa · Answer

Salut !J'ai fait ce qu'il fallait avec Killbox !Voici ce que ca donne :Logfile of HijackThis v1.99.1Scan saved at 09:03:42, on 11/06/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\LEXBCES.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\LEXPPS.EXEC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\ZONELABS\vsmon.exeC:\WINDOWS\Wcgopsvc.exeC:\Program Files\RIP PopUp
opopup.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\WINDOWS\CapFax.EXEC:\Program Files\Motorola\A925 Desktop Suite\ECTaskScheduler.exeC:\Program Files\Motorola\A925 Desktop Suite\ConnMngmntBox.exeC:\PROGRA~1\Motorola\A925DE~1\Elogerr.exeC:\Program Files\Microsoft Office\Office\Office\OSA.EXEC:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exeC:\PROGRA~1\Motorola\A925DE~1\BROADC~1.EXEC:\PROGRA~1\Motorola\A925DE~1\SCRFS.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Microsoft Office\Office\Winword.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\crys\Bureau\HIJACKTHIS\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://edit.europe.yahoo.com/config/mail?.intl=frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: UserInit=userinit.exeO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initializeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exeO4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] WcgopsvcO4 - HKLM\..\Run: [eDonkey2000] C:\Program Files\eDonkey2000\eDonkey2000.exe -tO4 - HKLM\..\Run: [RIP PopUp] C:\Program Files\RIP PopUp
opopup.exe /startupO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [CapFax] C:\WINDOWS\CapFax.EXEO4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\Office\OSA.EXEO4 - Global Startup: A925 Task Scheduler.lnk = ?O4 - Global Startup: A925 Connection Manager.lnk = ?O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\FRONTP~1\FP2003\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cabO16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cabO16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117640831220O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cabO16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_02) - O17 - HKLM\System\CCS\Services\Tcpip\..\{37A2FC23-B570-4B5F-842C-D11C78C3F025}: NameServer = 212.27.32.176,212.27.32.177O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXEO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exeC'est grave docteur ?Merci et à bientot !Fab

Utilisateur anonyme · Answer

salut fafa

Le log à l'air propre maintenant.

fais un scan AV ici:
http://www.ravantivirus.com/scan/
Clic sur "To continue without subscribing click here"
Accepte le control active x
Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
A la fin de l'analyse, copier/coller le rapport ici

tu en est ou avec tes problemes ?

a+

fafa · Answer

Hello !
Ben tout est ok chez moi :
connexion ultra rapide et ultra stable, pas de problème de déconnexion !
Plus de soucis avec les ralentissements, plus de adpopups!

En fait tout est résolu!

Je vous remercie pour votre aide et votre présence.
Merci a tous

Utilisateur anonyme · Answer

salut fafacontent pout toi !a+

[click me] plus problème avec hijackthis - Page 2

Discussions similaires

Newsletters