[win32 adware] winik.sys ne veut pas disparai

stefnet Messages postés 23 Statut Membre -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour,
j'ai suivi la discussion sur winik.sys mais malgré les recommandations de BallTrap, une fenêtre indique : "impossible de traiter le fichier", qui se trouve dans system 32/drivers.
Quelqu'un aurait u truc ?
Merci d'avance.
Configuration: Windows XP et Mozilla

37 réponses

  • 1
  • 2
Résumé de la discussion

Le problème central est l'impossibilité de traiter le fichier winik.sys dans System32/drivers sous Windows XP, accompagné de symptômes malware et de lenteurs réseau liées à une infection présumée.
Plusieurs solutions techniques sont évoquées, notamment l’usage de KillBox et HijackThis pour supprimer les composants malveillants, puis l’effacement des entrées de démarrage avant un redémarrage et optionnellement sc delete WinIK.
D'autres interventions recommandent d'opérer en mode sans échec pour contourner les verrous et de répéter les manipulations avec KillBox, afin que les modifications prennent effet lors du redémarrage.
En parallèle, des retours évoquent des symptômes persistants comme des alertes antivirus et des coupures ADSL, soulignant l’importance d’un diagnostic complet et d’une vérification antivirus après la suppression.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut il serait bien que tu me donne le lien du post pour me rafraichir la memoire
    0
  2. stefnet Messages postés 23 Statut Membre
     
    En fait je crois que c'était jean 38 qui avait trouvé la solution mais je m'étais retrouvé sur ton site pour télécharger KillBox (je ne sais plus comment, sûrement en furetant pour liquider d'autres bestioles)... Ca a été très utile pour liquider un trojan (je crois), TR/Spy.Haiport, mais ma bécane est toujours infestée par Win32 Adware.gen, qui a créé C:\windows\system32\drivers\winik.sys, qu'Avast identifie comme un virus (d'ailleurs, ma ligne ADSL a des coupures intempestives...).
    A +
    0
  3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    essai de le virer avec la killbox mais en mode sans echec
    0
  4. stefnet Messages postés 23 Statut Membre
     
    J'ai essayé en mode sans échec... J'ai simplement "this file could not be deleted". J'ai redémarré en mode "normal" et relancé killbox, qui affiche que le fichier n'existe pas (alors qu'il est toujours là!).
    De plus, il faut que je "reset" mon ordi pour revenir en mode normal : quand je veux quitter le mode "sans échec", il me laisse l'écran noir un sacré bout de temps... Ca a un rapport avec cette s... de virus ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    tu as bien coller se chemin dans la killbox
    C:\windows\system32\drivers\winik.sys
    0
  7. stefnet Messages postés 23 Statut Membre
     
    oui-oui.
    Enervant non ?
    0
  8. Utilisateur anonyme
     
    salut

    si tu as hijackthis, poste un rapport

    sinon telecharge hijackthis ici:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijack
    et surtout pas dans un dossier temporaire (temp)
    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
    Si tu as du mal, regarde ceci:
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    moe jette un oeil sur le post de qeueud1331
    j ai fait un reg regarde si j en est pas oublier 4 yeus vale mieux que 2
    0
  10. stefnet Messages postés 23 Statut Membre
     
    Voici le log
    Logfile of HijackThis v1.99.1
    Scan saved at 00:29:03, on 13/07/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Outils\AntiVirusAvast\aswUpdSv.exe
    C:\Outils\AntiVirusAvast\ashServ.exe
    C:\Outils\AntiVir\AVWUPSRV.EXE
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\cisvc.exe
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Maison et familles\Finances\ECB.exe
    C:\Outils\ANTIVI~2\ashDisp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Outils\AntiVirusAvast\ashMaiSv.exe
    C:\Outils\AntiVirusAvast\ashWebSv.exe
    C:\WINDOWS\System32\cidaemon.exe
    C:\Outils\Mozilla\mozilla.exe
    C:\Program Files\PowerArchiver\POWERARC.EXE
    C:\DOCUME~1\Stefan\LOCALS~1\Temp\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32/left.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
    O2 - BHO: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Outils\ANTISP~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "C:\Maison et familles\Finances\ECB.exe" /dontopenmycards
    O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
    O4 - HKLM\..\Run: [fYpGRoEw] C:\PROGRA~1\wwqswsov\Z0hCBcBN.exe
    O4 - HKLM\..\Run: [Registry oidet] win32.exe
    O4 - HKLM\..\Run: [Windows Executable] sysprot.exe
    O4 - HKLM\..\Run: [avast!] C:\Outils\ANTIVI~2\ashDisp.exe
    O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
    O4 - HKLM\..\Run: [PopUpKiller] C:\Outils\Outils internet\popup\PopUp Killer\popupkiller.EXE
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe
    O4 - HKLM\..\RunServices: [Windows Executable] sysprot.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
    O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: SirSearch - file://C:\Program Files\PWRSDP1\Cache\SelectedContextSearch.htm
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106134918171
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Outils\AntiVirusAvast\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Outils\AntiVirusAvast\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashWebSv.exe" /service (file missing)
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Outils\AntiVir\AVWUPSRV.EXE
    O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    Franchement, bravo à ceux qui s'en sortent avec ça !

    Je jette un oeil sur qeueud1331.
    0
  11. Utilisateur anonyme
     
    y a pas mal de saletées

    va dans le dossier C:\Program Files\wwqswsov
    et dit moi si tu vois un fichier profile.dat
    si oui, ouvre le avec le bloc note et copie et colle son contenu ici

    a+
    0
  12. stefnet Messages postés 23 Statut Membre
     
    Oui-oui, c'est un fichier qui m'a déjà bien pris la tête et il y a bien profile.dat. voici le contenu :
    H \ P r o g r a m F i l e s \ w w q s w s o v \ Z 0 h C B c B N . d l l H \ P r o g r a m F i l e s \ w w q s w s o v \ Z 0 h C B c B N . e x e H \ P r o g r a m F i l e s \ w w q s w s o v \ N B c B C h 0 Z . e x e @ \ P r o g r a m F i l e s \ w w q s w s o v \ c n m l . e x e F \ P r o g r a m F i l e s \ w w q s w s o v \ p r o f i l e . d a t F \ W I N D O W S \ S y s t e m 3 2 \ d r i v e r s \ W i n I K . s y s \ R E G I S T R Y \ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ f Y p G R o E w r \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ w i n i k j \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C o n t r o l S e t 0 0 1 \ S e r v i c e s \ w i n i k

    Tiens donc, winik...
    A propos des saletés qui infestent ma machine, un truc pour faire du ménage maousse sans être un crac ?
    A +
    0
  13. Utilisateur anonyme
     
    bien, maintenant il faudrait que tu localise le chemin exact de ces fichiers: (probablement dans c:\windows\system32)
    cscrs.exe
    win32.exe
    sysprot.exe


    mais d'abord rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher " afficher les fichiers et dossiers cachés "
    Décocher " masquer les extentions des fichiers dont le type est connu
    Décocher " masquer les fichiers protégés du système"
    clic sur ok pour valider

    ne les supprime pas pour l'instant

    et dis moi aussi tout ce que contient ce dossier:
    C:\WINDOWS\System32\wsxsvc

    a+
    0
  14. Utilisateur anonyme
     
    je dois arreter pour ce soir, je repasse demain en fin de matinée pour la suite

    a+
    0
  15. stefnet Messages postés 23 Statut Membre
     
    Je n’ai pas trouvé ces fichiers…
    il existe des sysprot dans Antivir\infected : sysprot.VIR, sysprot.VIR00 et sysprot.VIR01
    Là, je commence à angoisser sérieusement...
    0
  16. stefnet Messages postés 23 Statut Membre
     
    Précision : j’ai bien tous les fichiers « visibles » (y compris les fichiers système).
    Dans cette saleté de wwqswsov, on trouve :
    Babe, dfs, exit, obj, profile, url1, url2, url8, url9 et urlx, tous avec l’extension .dat.
    0
  17. Utilisateur anonyme
     
    salut stefnet

    reposte un hijackthis
    0
  18. Utilisateur anonyme
     
    saut s!ri

    en general ca donne ca:
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

    a+
    0
  19. stefnet Messages postés 23 Statut Membre
     
    Voici le rapport avec RegSrch :
    REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "winik" 13/07/2005 11:11:44

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]
    "DisplayName"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK\0000]
    "Service"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK\0000]
    "DeviceDesc"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]
    "DisplayName"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
    "Service"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
    "DeviceDesc"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000\Control]
    "ActiveService"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]
    "DisplayName"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Enum]
    "0"="Root\\LEGACY_WINIK\\0000"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK\0000]
    "Service"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK\0000]
    "DeviceDesc"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinIK]
    "DisplayName"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinIK\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
    "Service"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
    "DeviceDesc"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]
    "ActiveService"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]
    "DisplayName"="WinIK"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Security]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]
    "0"="Root\\LEGACY_WINIK\\0000"

    Je relance hijack
    0
  20. stefnet Messages postés 23 Statut Membre
     
    Voila le log de hijack :
    Logfile of HijackThis v1.99.1
    Scan saved at 11:14:33, on 13/07/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Outils\AntiVirusAvast\aswUpdSv.exe
    C:\Outils\AntiVirusAvast\ashServ.exe
    C:\Outils\AntiVir\AVWUPSRV.EXE
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\cisvc.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Maison et familles\Finances\ECB.exe
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\Outils\ANTIVI~2\ashDisp.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Outils\AntiVirusAvast\ashWebSv.exe
    C:\Outils\AntiVirusAvast\ashMaiSv.exe
    C:\WINDOWS\System32\cidaemon.exe
    C:\Program Files\PowerArchiver\POWERARC.EXE
    C:\DOCUME~1\Stefan\LOCALS~1\Temp\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32/left.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
    O2 - BHO: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Outils\ANTISP~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "C:\Maison et familles\Finances\ECB.exe" /dontopenmycards
    O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
    O4 - HKLM\..\Run: [fYpGRoEw] C:\PROGRA~1\wwqswsov\Z0hCBcBN.exe
    O4 - HKLM\..\Run: [Registry oidet] win32.exe
    O4 - HKLM\..\Run: [Windows Executable] sysprot.exe
    O4 - HKLM\..\Run: [avast!] C:\Outils\ANTIVI~2\ashDisp.exe
    O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
    O4 - HKLM\..\Run: [PopUpKiller] C:\Outils\Outils internet\popup\PopUp Killer\popupkiller.EXE
    O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe
    O4 - HKLM\..\RunServices: [Windows Executable] sysprot.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
    O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: SirSearch - file://C:\Program Files\PWRSDP1\Cache\SelectedContextSearch.htm
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106134918171
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Outils\AntiVirusAvast\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Outils\AntiVirusAvast\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashWebSv.exe" /service (file missing)
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Outils\AntiVir\AVWUPSRV.EXE
    O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

    a +
    0
    1. Utilisateur anonyme
       
      salut

      Telecharge: Pocket Killbox ici
      http://www.downloads.subratam.org/KillBox.exe
      l'aide détaillé de la manip est téléchargeable ici:
      http://get.yourfile.net/qn53063.zip


      Lance hijackthis:
      coches les cases au début des lignes suivantes:
      R3 - Default URLSearchHook is missing
      O3 - Toolbar: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
      O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
      O4 - HKLM\..\Run: [fYpGRoEw] C:\PROGRA~1\wwqswsov\Z0hCBcBN.exe
      O4 - HKLM\..\Run: [Registry oidet] win32.exe
      O4 - HKLM\..\Run: [Windows Executable] sysprot.exe
      O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe
      O4 - HKLM\..\RunServices: [Windows Executable] sysprot.exe
      O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
      O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe

      valide en cliquant sur fix checked


      1- Double-clic sur KillBox.exe
      (sert toi de l'aide si tu as du mal avec cette manip)

      2- ouvre le bloc notes et copie la liste en gras ci-dessous
      3- Selectionne "Delete on Reboot"
      4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier
      5- reviens sur killbox, et dans le menu du haut clic sur tool, puis sur paste from clipboard
      5- clic sur le rond rouge
      6- une fenetre va apparaitre pour confirmation clic sur OUI
      7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI


      liste à copier dans le bloc note:

      C:\Program Files\wwqswsov\Z0hCBcBN.dll
      C:\Program Files\wwqswsov\Z0hCBcBN.exe
      C:\Program Files\wwqswsov\NBcBCh0Z.exe
      C:\Program Files\wwqswsov\cnml.exe
      C:\Program Files\wwqswsov\profile.dat
      C:\WINDOWS\System32\win32.exe
      C:\WINDOWS\System32\sysprot.exe
      C:\WINDOWS\System32\cscrs.exe
      C:\windows\system32\drivers\winik.sys


      le pc devrait redemarrer

      ensuite:
      demarrer > executer
      dans la boite de dialogue tape:

      sc delete WinIK

      valide avec OK

      et dis nous ou en sont tes soucis

      a+
      0
  • 1
  • 2