Iexplore.exe ...complètement "vérolé'" !

Résolu
Pascal-33-37 Messages postés 112 Statut Membre -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjours à tous... (ceux qui savent comment ça marche, et ceux qui comme moi, aimeraient bien comprendre...).

Mon fichier "iexplore.exe" est devenu un nid à virus. En regardant sur le message de Sabrina, j'ai deja pu éditer le fichier depuis HijackThis. Je trouve ça trés joli, mais pour la suite, il parait que certaines personnes arrivent à expliquer la procédure à suivre ! (l'informatique m'impressionnera toujours autant).

Alors voici la bête...

Logfile of HijackThis v1.99.1
Scan saved at 20:22:59, on 07/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\sysvn32.exe
C:\Program Files\SpyFighter\SpyFighter.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\a2hijackfree.exe
C:\WINDOWS\system32\ntbp32.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rdcrx.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rdcrx.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rdcrx.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.seekerbar.com/ie.aspx?tb_id=50154
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rdcrx.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rdcrx.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rdcrx.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rdcrx.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.media-search.net/nph-search.cgi?track=mssrc&look=stmpl1&find=
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hhttp://search.media-search.net/nph-search.cgi?track=mssrc&look=stmpl1&find=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.free.fr:3128;ftp=proxy.free.fr:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {504E4541-72B8-7FED-2346-675BD8F5509F} - C:\WINDOWS\system32\sysab32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Class - {D476F3A0-4D6E-CAD1-1014-B290A1A15520} - C:\WINDOWS\netrq.dll
O2 - BHO: Class - {EE94A522-58DF-C2C1-BCF2-94D49D453684} - C:\WINDOWS\system32\mspg32.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [Media-Search] "C:\Program Files\msnet\v9\msnet.EXE" /H
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [sysvn32.exe] C:\WINDOWS\sysvn32.exe
O4 - HKLM\..\Run: [SpyFighterMonitor] "C:\Program Files\SpyFighter\SpyFighter.exe" monitor
O4 - HKLM\..\Run: [SpyFighterUpdate] "C:\Program Files\SpyFighter\AutoUpdate.exe" silent
O4 - HKLM\..\Run: [syssr32.exe] C:\WINDOWS\system32\syssr32.exe
O4 - HKLM\..\RunOnce: [apisu.exe] C:\WINDOWS\system32\apisu.exe
O4 - HKLM\..\RunOnce: [msea.exe] C:\WINDOWS\msea.exe
O4 - HKLM\..\RunOnce: [msrz.exe] C:\WINDOWS\msrz.exe
O4 - HKLM\..\RunOnce: [appfu.exe] C:\WINDOWS\system32\appfu.exe
O4 - HKLM\..\RunOnce: [apidw.exe] C:\WINDOWS\system32\apidw.exe
O4 - HKLM\..\RunOnce: [sysbg32.exe] C:\WINDOWS\sysbg32.exe
O4 - HKLM\..\RunOnce: [ntkk32.exe] C:\WINDOWS\system32\ntkk32.exe
O4 - HKLM\..\RunOnce: [netug.exe] C:\WINDOWS\system32\netug.exe
O4 - HKLM\..\RunOnce: [d3cc.exe] C:\WINDOWS\system32\d3cc.exe
O4 - HKLM\..\RunOnce: [ipyi32.exe] C:\WINDOWS\ipyi32.exe
O4 - HKLM\..\RunOnce: [winkl32.exe] C:\WINDOWS\winkl32.exe
O4 - HKLM\..\RunOnce: [javapf.exe] C:\WINDOWS\javapf.exe
O4 - HKLM\..\RunOnce: [mfcul32.exe] C:\WINDOWS\system32\mfcul32.exe
O4 - HKLM\..\RunOnce: [ntbp32.exe] C:\WINDOWS\system32\ntbp32.exe
O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner\RegClean.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1051.dll,InstantAccess
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.mairie-saintnazaire.fr/wfplayer/tdserver.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2AEEAC34-FD74-4142-B891-4B05C0C03C87} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMSERVICE_1050_pack_XP.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DlfnTmp0\imgSizer.ocx
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/112a62793e5a97027019/netzip/RdxIE601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} (HTMLAccess Class) - http://fr4-download.nocreditcardgay.com/download/Object/DialerHTML/DHTMLAccessXP1043.cab
O16 - DPF: {D7B59209-0ED9-4986-BD4A-527BE836C6B2} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMSERVICE_1051_XP.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä #•ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\apisu.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

D'avance, Bravo à ceux qui comprennent, et merci à ceux qui me répondront (qui j'espère, seront les mêmes !).
Configuration: windowsXP

84 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Le fil expose une infection où le fichier iexplore.exe est devenu un nid à virus et où l’analyse HijackThis révèle de nombreuses entrées modifiant les paramètres d’Internet Explorer. Plusieurs éléments indiquent des extensions et modules malveillants, notamment des BHO et des règles Proxy, et les réponses suggèrent des actions ciblant RKFiles et la suppression de composants nuisibles. En pratique, une réponse évoque le renommage du fichier RKFiles et l’usage de HijackThis pour nettoyer la trace, tandis qu’une autre indique qu’un redémarrage peut démarrer et qu’il faut évaluer l’action. D’autres éléments renvoient vers des risques supplémentaires liés à des services et processus systèmes, soulignant la nécessité de vérifier les appels réseau et les programmes autorun lors de la suppression.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut,

    et bien t'y va pas de main morte toi.

    alors voilà la manip, imprime la c'est plus sur.

    A/ si tu ne les as pas, telecharge:

    Spybot S&D 1.4 et Ad-Aware SE 1.06
    http://www.lavasoftusa.com/software/adaware/
    http://www.safer-networking.org/fr/index.html
    mais les à jour sur internet (dans le menu)

    Clean Up 40 :
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe

    About:Buster.
    Tu le télécharges sur :
    http://www.majorgeeks.com/download4289.html
    clik "Check for updates".
    telecharge les mises a jour
    mais attend pour l'utiliser

    1) clic droit sur poste de travail
    propriété
    restauration systeme
    coche desactivé puis appliquer

    2) demarrer
    panneau de configuration
    outil
    option des dossiers
    affichage,
    coche afficher dossier cachés
    decoche : masquer extension des fichiers dont le type est connu
    masquer les fichiers protégés du systeme d'exploitation.

    3) demarre en mode sans echec.
    Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

    4) lance hijack, ferme le bloc note et coche les cases devant les lignes, à la fin valide à l’aide du bouton fix checked:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rdcrx.dll/sp.html#37049

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rdcrx.dll/sp.html#37049

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rdcrx.dll/sp.html#37049

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rdcrx.dll/sp.html#37049

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,
    Search Page = res://C:\WINDOWS\rdcrx.dll/sp.html#37049

    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rdcrx.dll/sp.html#37049

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rdcrx.dll/sp.html#37049

    R3 - Default URLSearchHook is missing

    O2 - BHO: Class - {D476F3A0-4D6E-CAD1-1014-B290A1A15520} - C:\WINDOWS\netrq.dll

    O2 - BHO: Class - {EE94A522-58DF-C2C1-BCF2-94D49D453684} - C:\WINDOWS\system32\mspg32.dll

    O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

    O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

    O4 - HKLM\..\Run: [Media-Search] "C:\Program Files\msnet\v9\msnet.EXE" /H

    O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s

    O4 - HKLM\..\Run: [sysvn32.exe] C:\WINDOWS\sysvn32.exe

    O4 - HKLM\..\Run: [syssr32.exe]
    C:\WINDOWS\system32\syssr32.exe

    O4 - HKLM\..\RunOnce: [apisu.exe] C:\WINDOWS\system32\apisu.exe

    O4 - HKLM\..\RunOnce: [msea.exe] C:\WINDOWS\msea.exe

    O4 - HKLM\..\RunOnce: [msrz.exe] C:\WINDOWS\msrz.exe

    O4 - HKLM\..\RunOnce: [appfu.exe]
    C:\WINDOWS\system32\appfu.exe

    O4 - HKLM\..\RunOnce: [apidw.exe] C:\WINDOWS\system32\apidw.exe

    O4 - HKLM\..\RunOnce: [sysbg32.exe] C:\WINDOWS\sysbg32.exe

    O4 - HKLM\..\RunOnce: [ntkk32.exe] C:\WINDOWS\system32\ntkk32.exe

    O4 - HKLM\..\RunOnce: [netug.exe] C:\WINDOWS\system32\netug.exe

    O4 - HKLM\..\RunOnce: [d3cc.exe] C:\WINDOWS\system32\d3cc.exe

    O4 - HKLM\..\RunOnce: [ipyi32.exe] C:\WINDOWS\ipyi32.exe

    O4 - HKLM\..\RunOnce: [winkl32.exe] C:\WINDOWS\winkl32.exe

    O4 - HKLM\..\RunOnce: [javapf.exe] C:\WINDOWS\javapf.exe

    O4 - HKLM\..\RunOnce: [mfcul32.exe] C:\WINDOWS\system32\mfcul32.exe

    O4 - HKLM\..\RunOnce: [ntbp32.exe] C:\WINDOWS\system32\ntbp32.exe

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409

    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

    O16 - DPF: {2AEEAC34-FD74-4142-B891-4B05C0C03C87} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMSERVICE_1050_pack_XP.cab

    O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab

    O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DlfnTmp0\imgSizer.ocx

    O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab

    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/112a62793e5a97027019/netzip/RdxIE601_fr.cab

    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

    O16 - DPF: {946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} (HTMLAccess Class) - http://fr4-download.nocreditcardgay.com/download/Object/DialerHTML/DHTMLAccessXP1043.cab

    O16 - DPF: {D7B59209-0ED9-4986-BD4A-527BE836C6B2} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMSERVICE_1051_XP.cab

    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

    O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab

    O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä #•ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\apisu.exe

    5)Dans le menu Demarrer>Executer >tape: Services.msc
    recherche le service avec cette orthographe exacte:
    Remote Procedure Call
    Double clic dessus et clic sur arreter puis dans type de demarrage selectionne désactivé

    6) supprime les fichiers (fait attention à l'ortographe exacte)

    C:\WINDOWS\vsnpstd.exe
    C:\WINDOWS\sysvn32.exe
    C:\WINDOWS\system32\syssr32.exe
    C:\WINDOWS\system32\apisu.exe

    7) lance about:buster
    passe le deux fois de suite

    8) lance clean up
    puis les scan ad aware et spybot

    vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.

    redemarre
    refait un log
    0
  2. Utilisateur anonyme
     
    re,
    je te suis comme c est moi qui t avait oriente mais suit ce que jean te dis mais ne touche pas a celle ci
    O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

    a+
    0
  3. Pascal-33-37 Messages postés 112 Statut Membre
     
    Avant toute chose, merci pour avoir relever ce défi.

    Malheureusement, j’ai pas trop assuré de mon coté !!!

    Tout d’abord, je n’ai pas réussi à charger « about:buster » avant de commencer la procédure (galère le site majorgeeks.com !). Résultat des courses, j’y suis arrivé après maintes tentatives, mais après coup ; je n’ai donc pas suivi la procédure dans l’ordre.

    Ensuite, comme je l’ai dit sur un autre forum, j’ai également un problème au démarrage de certains logiciels. Le message suivant apparaît souvent :

    " L’application ou la DLL …. (variable suivant les logiciels)… n’est pas une image windows valide. Vérifier à l’aide de votre disquette d’installation ".

    Si Spybot arrive à se lancer malgré ce message, en revanche ad-aware l’envoie 3 fois à la suite, puis plante !

    Enfin, je n’ai pu retrouver dans le fichier hijack 10 des 43 lignes que je devais cocher pour effacement. J’avais un peu bricolé avant de recevoir ton message, ça a du modifier un peu la donne.

    En résumé, à présent, je dispose de about:buster, hijack, clean up 40, spybot (fonctionnant malgré un message d’erreur pour ce dernier), mais ad-aware ne fonctionne plus depuis plusieurs semaines (j’ai essayé de le désinstaller puis de le recharger sans succès). Je ne touche plus à rien avant le prochain message (…si vous n’êtes pas désespérés).

    Désolé d’être un piètre élève pour un tel problème. Mais bon, gardons courage. Si on s’en sort, je vous donne… ma recette du pain de poisson !!!

    ;-)
    0
  4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    si tu as virer des lignes qui ne fallait pas avec hijack fait ceci tu le relance tu clik sur open the misk tool section et ensuite sur backup
    et la tu coche les lignes et tu clik sur restaure
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Pascal-33-37 Messages postés 112 Statut Membre
     
    Merci pour ton conseil Baltrap34, mais je n'ai pas (...encore ;-) )viré des lignes qu'il ne fallait pas. Je n'ai pas retrouvé, à l'inverse, certaines qu'il fallait effacer.

    Sans transition, petite info supplémentaire :

    En faisant tourné Spybot, il reste systématiquement (et depuis un bon moment du reste) un fichier downloadware.exe que Spybot détecte, mais n'arrive pas à détruire.
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki remet un nouvelle hijack
    0
  8. Pascal-33-37 Messages postés 112 Statut Membre
     
    Du nouveau !!!

    On peut pas être nul à tout les coups !!!!

    Coup d'inspiration; j'ai eu la bonne idée d'aller voir sur google ce que sont les fichiers DLL. Je suis tombé par hasard sur un site permettant de charger gratuitement n'importe lequel d'entre eux. Résultat des courses, j'ai pu remplacer celui qui était systématiquement indiqué dans le message d'erreur au moment de lancer ad-aware et spybot (entre autre).

    A présent, ces 2 logiciels fonctionnent correctement !!!

    J'ai donc ce qu'il faut pour (re)faire la procédure de nettoyage de mon fichier iexplore.exe.

    C'est reparti pour un tour...

    Logfile of HijackThis v1.99.1
    Scan saved at 17:20:27, on 09/07/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
    C:\HP\KBD\KBD.EXE
    C:\windows\system\hpsysdrv.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\WINDOWS\system32\msnw.exe
    C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\a2\a2guard.exe
    C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\plunw.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.seekerbar.com/ie.aspx?tb_id=50154
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\plunw.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\plunw.dll/sp.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\plunw.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hhttp://search.media-search.net/nph-search.cgi?track=mssrc&look=stmpl1&find=
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.free.fr:3128;ftp=proxy.free.fr:3128
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R3 - Default URLSearchHook is missing
    O2 - BHO: Class - {03C7E373-5AAC-63DE-1204-203615E7FEB8} - C:\WINDOWS\system32\ntah32.dll
    O2 - BHO: Class - {04B1C514-292B-119B-2E06-6ABE395ADD64} - C:\WINDOWS\system32\sysbh32.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Class - {11CADD9E-74F9-397C-A3AF-492DCE92FEBA} - C:\WINDOWS\system32\mfcwf32.dll
    O2 - BHO: Class - {131BF8BB-81BA-2059-36D4-F6347DFAFF17} - C:\WINDOWS\system32\sdkes.dll
    O2 - BHO: Class - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - C:\WINDOWS\sdkcr32.dll
    O2 - BHO: Class - {46DF3BCE-821E-D3DD-3C76-56A4F7ADF988} - C:\WINDOWS\iexo.dll
    O2 - BHO: Class - {4EEA0A70-4D17-292B-4EC2-483BFC6A677F} - C:\WINDOWS\sdkgc.dll
    O2 - BHO: Class - {6CF569A6-DE3A-4E2F-3C47-72CBC1BE0CB4} - C:\WINDOWS\system32\d3gp.dll
    O2 - BHO: Class - {76B65772-6456-05AC-575B-9D567678D55E} - C:\WINDOWS\mfcue32.dll
    O2 - BHO: Class - {79207B8A-3F1B-92FC-C375-8424B3F02FCC} - C:\WINDOWS\system32\ienn.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Class - {BFC5CE8D-591D-2D83-B505-AE97D6B9C0DC} - C:\WINDOWS\system32\iezy.dll
    O2 - BHO: Class - {D4A99041-BBC8-A963-8327-6E17563E936B} - C:\WINDOWS\system32\atlhl32.dll
    O2 - BHO: Class - {F3DD5740-8C65-5FF3-1225-F170898543B8} - C:\WINDOWS\ntwj32.dll
    O2 - BHO: Class - {F7626EC1-769B-9B56-8DE0-B2C1797FEBB8} - C:\WINDOWS\system32\mfcdm32.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe
    O4 - HKLM\..\Run: [SpyFighterMonitor] "C:\Program Files\SpyFighter\SpyFighter.exe" monitor
    O4 - HKLM\..\Run: [SpyFighterUpdate] "C:\Program Files\SpyFighter\AutoUpdate.exe" silent
    O4 - HKLM\..\Run: [msnw.exe] C:\WINDOWS\system32\msnw.exe
    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
    O4 - HKLM\..\RunOnce: [addsf.exe] C:\WINDOWS\addsf.exe
    O4 - HKLM\..\RunOnce: [cryy32.exe] C:\WINDOWS\system32\cryy32.exe
    O4 - HKLM\..\RunOnce: [atlux.exe] C:\WINDOWS\system32\atlux.exe
    O4 - HKLM\..\RunOnce: [mfcyc32.exe] C:\WINDOWS\system32\mfcyc32.exe
    O4 - HKLM\..\RunOnce: [sysfd32.exe] C:\WINDOWS\sysfd32.exe
    O4 - HKLM\..\RunOnce: [apifc.exe] C:\WINDOWS\system32\apifc.exe
    O4 - HKLM\..\RunOnce: [d3hu.exe] C:\WINDOWS\system32\d3hu.exe
    O4 - HKLM\..\RunOnce: [sysfl32.exe] C:\WINDOWS\system32\sysfl32.exe
    O4 - HKLM\..\RunOnce: [atlha32.exe] C:\WINDOWS\atlha32.exe
    O4 - HKLM\..\RunOnce: [addbo.exe] C:\WINDOWS\system32\addbo.exe
    O4 - HKLM\..\RunOnce: [addtw.exe] C:\WINDOWS\addtw.exe
    O4 - HKLM\..\RunOnce: [d3zo.exe] C:\WINDOWS\system32\d3zo.exe
    O4 - HKLM\..\RunOnce: [sdkwc.exe] C:\WINDOWS\system32\sdkwc.exe
    O4 - HKLM\..\RunOnce: [iepy.exe] C:\WINDOWS\iepy.exe
    O4 - HKLM\..\RunOnce: [d3nc32.exe] C:\WINDOWS\system32\d3nc32.exe
    O4 - HKLM\..\RunOnce: [ntzb.exe] C:\WINDOWS\system32\ntzb.exe
    O4 - HKLM\..\RunOnce: [ipos.exe] C:\WINDOWS\ipos.exe
    O4 - HKLM\..\RunOnce: [iprh32.exe] C:\WINDOWS\iprh32.exe
    O4 - HKLM\..\RunOnce: [iehg.exe] C:\WINDOWS\system32\iehg.exe
    O4 - HKLM\..\RunOnce: [atlpv32.exe] C:\WINDOWS\system32\atlpv32.exe
    O4 - HKLM\..\RunOnce: [ievp32.exe] C:\WINDOWS\system32\ievp32.exe
    O4 - HKLM\..\RunOnce: [winxu.exe] C:\WINDOWS\winxu.exe
    O4 - HKLM\..\RunOnce: [crco32.exe] C:\WINDOWS\crco32.exe
    O4 - HKLM\..\RunOnce: [appms.exe] C:\WINDOWS\appms.exe
    O4 - HKLM\..\RunOnce: [mszu32.exe] C:\WINDOWS\mszu32.exe
    O4 - HKLM\..\RunOnce: [addew32.exe] C:\WINDOWS\system32\addew32.exe
    O4 - HKLM\..\RunOnce: [crjq.exe] C:\WINDOWS\system32\crjq.exe
    O4 - HKLM\..\RunOnce: [sdkbv.exe] C:\WINDOWS\system32\sdkbv.exe
    O4 - HKLM\..\RunOnce: [mfchp32.exe] C:\WINDOWS\system32\mfchp32.exe
    O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner\RegClean.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
    O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.mairie-saintnazaire.fr/wfplayer/tdserver.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addsf.exe" /s (file missing)
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

    En espérant que cette fois sera la bonne, merci d'avance !!!!
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    imperatif desinstal ceci
    SpyFighter

    imprime ceci pour ne rien oublier et tous faire
    tous faire dans l ordre imperativement
    -------------------------
    tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

    adaware (1)version 1.06
    (ici) http://www.florensac-chasse-trap.com/ section virus
    voir demo
    http://pageperso.aol.fr/balltrap34/adwseflash.zip
    0
  10. Pascal-33-37 Messages postés 112 Statut Membre
     
    Plutôt que de faire une betise, ayant un petit doute… question:

    Je viens d’aller sur « ajouter ou supprimer des programmes » afin d’effacer « Spyfighter », et là, surprise, je ne le trouve pas dans la liste des logiciels proposées. En cherchant dans l’arborescence, il est bien dans le dossier « Programfiles ».

    Ma question : si je supprime les fichiers nommés « spyfighter.quelquechose » depuis le répertoire, est-ce que ça correspond à une désinstallation correcte de ce logiciel ?
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    si il na pas de desinstaleur oui fait comme cela
    0
  12. jos123 Messages postés 74 Statut Membre 6
     
    Bonsoir. J´ arrive tard. Voulais dire deux choses. Pour téléchargement de fichiers dll:
    www.windll.com
    www.lesdll.com
    www.dll-files.com
    Ensuite:
    "iexplorer.exe" est un trojan
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    la je vois que celui ci
    iexplore.exe et de plus il est dans son bon repertoire a ne pas toucher
    0
  14. Pascal-33-37 Messages postés 112 Statut Membre
     
    Problème !!!

    Impossible de lancer About:buster pour télécharger les mises à jour. Je viens de l'effacer, puis de le recharger ; toujours le même message à l'ouverture :

    The database is either corrupted or missing. Please download a new one.
    0
  15. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    tu essai les mises a jour en mode normal pas en mode sans echec
    0
  16. Pascal-33-37 Messages postés 112 Statut Membre
     
    Dois-je lancer la procédure sans about:buster ?
    0
  17. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    c est le meme lien que moi
    0
  18. Utilisateur anonyme
     
    Ok et cela ne marche toujours pas?
    (je l avais mis au cas ou tu avais telecharger ca au mauvais endroit !)
    0
  19. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    au mauvais endroit non mais des fois lol
    0
  20. Utilisateur anonyme
     
    lol,
    bon dis nous si il marche, sinon reposte un hijack this et on fera sans pour essayer (peut etre que...), a toi de jouer Gerard !!

    a+
    0
  • 1
  • 2
  • 3
  • 4
  • 5