Virus- spyware et compagnie, AIDEZ MOI SVP
Paulo
-
bernie61 -
bernie61 -
Bonjour alors depuis un certain temp mon ordinateur se trouve saturé de saloperies en tout genres, spyware virus et companie.
Mon antivirus s'affole et met tout en quarantaine j'utilise ad-aware met rien n'y fait a chaque nouveau scan j'ai tj autant de saloperies voir plus
( j'ai un truc qui s'appele click me qui arrete pas de se remettre a chaque reboot et un "mediacacck" que j'arrive pas a bouger, et puis je suis sur que j'ai encore bc d'autre saloperies mais comme je n'y connais rien en informatique sa ne va pas en s'arrangant ).
Voila alors pour commencer et comment apperement c'est une pratique courante ici je vous poste mon log hijackthis.
J'espere que vous pourrai m'aider a enlever tout sa et surtout a ne pas les rechoper. Merci bc
J'utilise windos 2000 professionel sp4.
Logfile of HijackThis v1.99.1
Scan saved at 19:22:29, on 08/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTSvcCDA.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\system32\waes.exe
C:\WINNT\system32\secsvc.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\system32\cmd.exe
C:\Documents and Settings\Paul\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Microsoftf DDEs Control] waes.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [System Event Manager] secsvc.exe
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitepmi32.exe
O4 - HKLM\..\Run: [HELPER] C:\WINNT\system32\temp532.exe -N
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdatez.exe
O4 - HKLM\..\RunServices: [Microsoftf DDEs Control] waes.exe
O4 - HKLM\..\RunServices: [System Event Manager] secsvc.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Utilitaires\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Utilitaires\FlashGet\jc_all.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\UTILIT~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\UTILIT~1\FLASHGET\flashget.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{854B0CC9-5FC6-46C7-840E-5C63930CC6E0}: NameServer = 213.36.80.1 213.36.80.1
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
Mon antivirus s'affole et met tout en quarantaine j'utilise ad-aware met rien n'y fait a chaque nouveau scan j'ai tj autant de saloperies voir plus
( j'ai un truc qui s'appele click me qui arrete pas de se remettre a chaque reboot et un "mediacacck" que j'arrive pas a bouger, et puis je suis sur que j'ai encore bc d'autre saloperies mais comme je n'y connais rien en informatique sa ne va pas en s'arrangant ).
Voila alors pour commencer et comment apperement c'est une pratique courante ici je vous poste mon log hijackthis.
J'espere que vous pourrai m'aider a enlever tout sa et surtout a ne pas les rechoper. Merci bc
J'utilise windos 2000 professionel sp4.
Logfile of HijackThis v1.99.1
Scan saved at 19:22:29, on 08/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTSvcCDA.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\system32\waes.exe
C:\WINNT\system32\secsvc.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\system32\cmd.exe
C:\Documents and Settings\Paul\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Microsoftf DDEs Control] waes.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [System Event Manager] secsvc.exe
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitepmi32.exe
O4 - HKLM\..\Run: [HELPER] C:\WINNT\system32\temp532.exe -N
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdatez.exe
O4 - HKLM\..\RunServices: [Microsoftf DDEs Control] waes.exe
O4 - HKLM\..\RunServices: [System Event Manager] secsvc.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Utilitaires\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Utilitaires\FlashGet\jc_all.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\UTILIT~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\UTILIT~1\FLASHGET\flashget.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{854B0CC9-5FC6-46C7-840E-5C63930CC6E0}: NameServer = 213.36.80.1 213.36.80.1
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
A voir également:
- Virus- spyware et compagnie, AIDEZ MOI SVP
- Virus mcafee - Accueil - Piratage
- Spyware doctor - Télécharger - Antivirus & Antimalwares
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Spyware terminator - Télécharger - Antivirus & Antimalwares
6 réponses
bon allons y
A/ si tu ne les as pas, telecharge:
Spybot S&D 1.4 et Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.html
puis sur
http://www.florensac-chasse-trap.com
pointe ton curseur sur « section virus » sans cliquer
click sur le menu qui apparaît et charge
CleanUp312.exe
ne les utilise pas tout de suite
idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/
met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.
1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer
2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)
4)relance hijack et fixe les lignes
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [System Event Manager] secsvc.exe
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitepmi32.exe
O4 - HKLM\..\Run: [HELPER] C:\WINNT\system32\temp532.exe -N
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdatez.exe
O4 - HKLM\..\RunServices: [System Event Manager] secsvc.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
5) supprime les fichiers suivants:
C:\WINNT\system32\secsvc.exe
C:\WINNT\EliteToolBar << le dossier complet
C:\Program Files\Media Access << le dossier complet
C:\winnt\system32\elitepmi32.exe
C:\WINNT\system32\temp532.exe -N
C:\WINNT\system32\NavLogon.dll
6) execute cleanup312.exe
tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).
vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.
redemarre
refait un log hijack
post le
a+
A/ si tu ne les as pas, telecharge:
Spybot S&D 1.4 et Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.html
puis sur
http://www.florensac-chasse-trap.com
pointe ton curseur sur « section virus » sans cliquer
click sur le menu qui apparaît et charge
CleanUp312.exe
ne les utilise pas tout de suite
idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/
met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.
1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer
2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.
3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)
4)relance hijack et fixe les lignes
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [System Event Manager] secsvc.exe
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitepmi32.exe
O4 - HKLM\..\Run: [HELPER] C:\WINNT\system32\temp532.exe -N
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdatez.exe
O4 - HKLM\..\RunServices: [System Event Manager] secsvc.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
5) supprime les fichiers suivants:
C:\WINNT\system32\secsvc.exe
C:\WINNT\EliteToolBar << le dossier complet
C:\Program Files\Media Access << le dossier complet
C:\winnt\system32\elitepmi32.exe
C:\WINNT\system32\temp532.exe -N
C:\WINNT\system32\NavLogon.dll
6) execute cleanup312.exe
tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).
vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.
redemarre
refait un log hijack
post le
a+
salut
1. Tu connais ça vérifie (cliq droit souris/propriété) sinon ZIP (compresse) et efface le .EXE
Désinstalle MEDIACCES et EliteToolbar si tu vois
C:\UTILIT~1\FLASHGET\flashget.exe > c’est un adaware à désinstaller
C:\WINNT\system32\secsvc.exe
C:\WINNT\system32\waes.exe >> douteux, très douteux
2. Relances Hijackthis et coche (puis FIX)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [Microsoftf DDEs Control] waes.exe > si inconnu
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [System Event Manager] secsvc.exe
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitepmi32.exe
O4 - HKLM\..\Run: [HELPER] C:\WINNT\system32\temp532.exe –N
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdatez.exe
O4 - HKLM\..\RunServices: [Microsoftf DDEs Control] waes.exe > très douteux
O4 - HKLM\..\RunServices: [System Event Manager] secsvc.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\UTILIT~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\UTILIT~1\FLASHGET\flashget.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
3. Effacer ces programmes .EXE ( et à la fin vider la corbeille)
C:\WINNT\system32\secsvc.exe
C:\WINNT\system32\waes.exe >>si inconnu, très douteux vu sa localisation
C:\WINNT\EliteToolBar\EliteToolBar version 60.dll > tout le répertoire Elite
C:\Program Files\Media Access\MediaAccK.ex > tout le répertoire Media Access
C:\winnt\system32\elitepmi32.exe
C:\WINNT\system32\temp532.exe
C :… winupdatez.exe
C:\UTILIT~1\FLASHGET\flashget.exe > effacer tout le répertoire FlashGet
4. vider les répertoires temps et la corbeille
Refais un hijackthis de contrôle
a+
1. Tu connais ça vérifie (cliq droit souris/propriété) sinon ZIP (compresse) et efface le .EXE
Désinstalle MEDIACCES et EliteToolbar si tu vois
C:\UTILIT~1\FLASHGET\flashget.exe > c’est un adaware à désinstaller
C:\WINNT\system32\secsvc.exe
C:\WINNT\system32\waes.exe >> douteux, très douteux
2. Relances Hijackthis et coche (puis FIX)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [Microsoftf DDEs Control] waes.exe > si inconnu
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [System Event Manager] secsvc.exe
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitepmi32.exe
O4 - HKLM\..\Run: [HELPER] C:\WINNT\system32\temp532.exe –N
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdatez.exe
O4 - HKLM\..\RunServices: [Microsoftf DDEs Control] waes.exe > très douteux
O4 - HKLM\..\RunServices: [System Event Manager] secsvc.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\UTILIT~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\UTILIT~1\FLASHGET\flashget.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
3. Effacer ces programmes .EXE ( et à la fin vider la corbeille)
C:\WINNT\system32\secsvc.exe
C:\WINNT\system32\waes.exe >>si inconnu, très douteux vu sa localisation
C:\WINNT\EliteToolBar\EliteToolBar version 60.dll > tout le répertoire Elite
C:\Program Files\Media Access\MediaAccK.ex > tout le répertoire Media Access
C:\winnt\system32\elitepmi32.exe
C:\WINNT\system32\temp532.exe
C :… winupdatez.exe
C:\UTILIT~1\FLASHGET\flashget.exe > effacer tout le répertoire FlashGet
4. vider les répertoires temps et la corbeille
Refais un hijackthis de contrôle
a+
salut paulo
Si tu ne les a pas déjà:
Télécharge:
* Spybot S&D version 1.4:
http://spybot.safer-networking.de/fr/mirrors/index.html
l'aide:
http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php#ssd_02
* Ad-aware 1.06:
http://www.lavasoftusa.com/french/support/download/
Télécharger l'aide:
http://get.yourfile.net/jt48750.zip
Bien lire l'aide, et mettre à jours avant de les utiliser.
telecharge LQFIX, mais ne l'utilise pas pour l'instant
http://users.pandora.be/bluepatchy/LQfix.zip
Déconnecte toi d'internet:
Vide le cache d'Internet Explorer et supprime les cookies:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok
Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
clic sur ok pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [Microsoftf DDEs Control] waes.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [System Event Manager] secsvc.exe
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitepmi32.exe
O4 - HKLM\..\Run: [HELPER] C:\WINNT\system32\temp532.exe -N
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdatez.exe
O4 - HKLM\..\RunServices: [Microsoftf DDEs Control] waes.exe
O4 - HKLM\..\RunServices: [System Event Manager] secsvc.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
valider avec [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Supprime en suivant le chemin des fichiers infectés
si présent:
C:\WINNT\system32\waes.exe
C:\WINNT\system32\secsvc.exe
C:\WINNT\system32\temp532.exe
winupdatez.exe
C:\Program Files\Media Access
C:\Program Files\desktop scout
C:\WINNT\system32\svctask32.dll
C:\WINNT\stem32
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
lance lqfix en double cliquant sur lqfix.bat
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, tres important:
:: Supprimer les fichiers temporaires ::
* C:\Temp
* C:\Winnt\Temp
vider tout le contenu des dossiers en gras.
* Ne pas oublier de vider la corbeille !
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
passe spybot et ad-aware et supprime tout ce qu'ils trouvent
Redemarre normalement et reposte un log hijack pour vérifier l'évolution
a+
Si tu ne les a pas déjà:
Télécharge:
* Spybot S&D version 1.4:
http://spybot.safer-networking.de/fr/mirrors/index.html
l'aide:
http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php#ssd_02
* Ad-aware 1.06:
http://www.lavasoftusa.com/french/support/download/
Télécharger l'aide:
http://get.yourfile.net/jt48750.zip
Bien lire l'aide, et mettre à jours avant de les utiliser.
telecharge LQFIX, mais ne l'utilise pas pour l'instant
http://users.pandora.be/bluepatchy/LQfix.zip
Déconnecte toi d'internet:
Vide le cache d'Internet Explorer et supprime les cookies:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok
Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
clic sur ok pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [Microsoftf DDEs Control] waes.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [System Event Manager] secsvc.exe
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitepmi32.exe
O4 - HKLM\..\Run: [HELPER] C:\WINNT\system32\temp532.exe -N
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdatez.exe
O4 - HKLM\..\RunServices: [Microsoftf DDEs Control] waes.exe
O4 - HKLM\..\RunServices: [System Event Manager] secsvc.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
valider avec [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Supprime en suivant le chemin des fichiers infectés
si présent:
C:\WINNT\system32\waes.exe
C:\WINNT\system32\secsvc.exe
C:\WINNT\system32\temp532.exe
winupdatez.exe
C:\Program Files\Media Access
C:\Program Files\desktop scout
C:\WINNT\system32\svctask32.dll
C:\WINNT\stem32
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
lance lqfix en double cliquant sur lqfix.bat
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, tres important:
:: Supprimer les fichiers temporaires ::
* C:\Temp
* C:\Winnt\Temp
vider tout le contenu des dossiers en gras.
* Ne pas oublier de vider la corbeille !
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
passe spybot et ad-aware et supprime tout ce qu'ils trouvent
Redemarre normalement et reposte un log hijack pour vérifier l'évolution
a+
et bien lui s'il s'en sort pas avec tous ces posts, je me fais curé.
Pour ma part, je n'aurais pas fixé waes.exe
a+ a vous
jean
Pour ma part, je n'aurais pas fixé waes.exe
a+ a vous
jean
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Tout d'abord merci a tous pour m'avoir répondu aussi rapidement.
J'ai suivis les instruction de moe31 car dans l'explication de jean38 je ne trouvais pas loption "desactiver la restauration system" dans les proprietes du poste de travail.
Tout c'est bien passé a lexeption que je n'ai pas pu faire un scan spybot car je ne pouvais pas faire la mise a jour ( jignore pourquoi )
voici mon nouveau log hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 22:22:20, on 08/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTSvcCDA.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\system32\msdesk32.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\Paul\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Microsoft Desktop Manager] msdesk32.exe
O4 - HKLM\..\RunServices: [Microsoft Desktop Manager] msdesk32.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Utilitaires\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Utilitaires\FlashGet\jc_all.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\UTILIT~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\UTILIT~1\FLASHGET\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{854B0CC9-5FC6-46C7-840E-5C63930CC6E0}: NameServer = 213.36.80.1 213.36.80.1
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
J'ai suivis les instruction de moe31 car dans l'explication de jean38 je ne trouvais pas loption "desactiver la restauration system" dans les proprietes du poste de travail.
Tout c'est bien passé a lexeption que je n'ai pas pu faire un scan spybot car je ne pouvais pas faire la mise a jour ( jignore pourquoi )
voici mon nouveau log hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 22:22:20, on 08/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTSvcCDA.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\system32\msdesk32.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\Paul\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Microsoft Desktop Manager] msdesk32.exe
O4 - HKLM\..\RunServices: [Microsoft Desktop Manager] msdesk32.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Utilitaires\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Utilitaires\FlashGet\jc_all.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\UTILIT~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\UTILIT~1\FLASHGET\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{854B0CC9-5FC6-46C7-840E-5C63930CC6E0}: NameServer = 213.36.80.1 213.36.80.1
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
re salut
1.
Désinstalles FlashGet qui est un aware
2. Relances Hijackthis et coche (puis FIX)
O4 - HKLM\..\Run: [Microsoft Desktop Manager] msdesk32.exe
O4 - HKLM\..\RunServices: [Microsoft Desktop Manager] msdesk32.exe
3. Effacer ces programmes .EXE ( et à la fin vider la corbeille)
C:\WINNT\system32\msdesk32.exe
4. vider les répertoires temps et la corbeille
Refais un hijackthis de contrôle
a+
1.
Désinstalles FlashGet qui est un aware
2. Relances Hijackthis et coche (puis FIX)
O4 - HKLM\..\Run: [Microsoft Desktop Manager] msdesk32.exe
O4 - HKLM\..\RunServices: [Microsoft Desktop Manager] msdesk32.exe
3. Effacer ces programmes .EXE ( et à la fin vider la corbeille)
C:\WINNT\system32\msdesk32.exe
4. vider les répertoires temps et la corbeille
Refais un hijackthis de contrôle
a+
