[win32 adware] winik.sys ne veut pas disparai
Fermé
stefnet
Messages postés
23
Date d'inscription
mardi 12 juillet 2005
Statut
Membre
Dernière intervention
22 octobre 2005
-
12 juil. 2005 à 17:18
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 16 juil. 2005 à 14:58
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 16 juil. 2005 à 14:58
A voir également:
- [win32 adware] winik.sys ne veut pas disparai
- Hacktool win32 autokms ✓ - Forum Virus / Sécurité
- Adware pokki ✓ - Forum Virus / Sécurité
- Win32 adware gen ✓ - Forum Virus / Sécurité
- Adware cleaner - Télécharger - Antivirus & Antimalwares
- Win32/lodi - Forum Virus / Sécurité
37 réponses
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
12 juil. 2005 à 17:20
12 juil. 2005 à 17:20
salut il serait bien que tu me donne le lien du post pour me rafraichir la memoire
stefnet
Messages postés
23
Date d'inscription
mardi 12 juillet 2005
Statut
Membre
Dernière intervention
22 octobre 2005
12 juil. 2005 à 19:33
12 juil. 2005 à 19:33
En fait je crois que c'était jean 38 qui avait trouvé la solution mais je m'étais retrouvé sur ton site pour télécharger KillBox (je ne sais plus comment, sûrement en furetant pour liquider d'autres bestioles)... Ca a été très utile pour liquider un trojan (je crois), TR/Spy.Haiport, mais ma bécane est toujours infestée par Win32 Adware.gen, qui a créé C:\windows\system32\drivers\winik.sys, qu'Avast identifie comme un virus (d'ailleurs, ma ligne ADSL a des coupures intempestives...).
A +
A +
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
12 juil. 2005 à 19:39
12 juil. 2005 à 19:39
essai de le virer avec la killbox mais en mode sans echec
stefnet
Messages postés
23
Date d'inscription
mardi 12 juillet 2005
Statut
Membre
Dernière intervention
22 octobre 2005
12 juil. 2005 à 23:42
12 juil. 2005 à 23:42
J'ai essayé en mode sans échec... J'ai simplement "this file could not be deleted". J'ai redémarré en mode "normal" et relancé killbox, qui affiche que le fichier n'existe pas (alors qu'il est toujours là!).
De plus, il faut que je "reset" mon ordi pour revenir en mode normal : quand je veux quitter le mode "sans échec", il me laisse l'écran noir un sacré bout de temps... Ca a un rapport avec cette s... de virus ?
De plus, il faut que je "reset" mon ordi pour revenir en mode normal : quand je veux quitter le mode "sans échec", il me laisse l'écran noir un sacré bout de temps... Ca a un rapport avec cette s... de virus ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
13 juil. 2005 à 00:01
13 juil. 2005 à 00:01
tu as bien coller se chemin dans la killbox
C:\windows\system32\drivers\winik.sys
C:\windows\system32\drivers\winik.sys
stefnet
Messages postés
23
Date d'inscription
mardi 12 juillet 2005
Statut
Membre
Dernière intervention
22 octobre 2005
13 juil. 2005 à 00:11
13 juil. 2005 à 00:11
oui-oui.
Enervant non ?
Enervant non ?
salut
si tu as hijackthis, poste un rapport
sinon telecharge hijackthis ici:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijack
et surtout pas dans un dossier temporaire (temp)
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
Si tu as du mal, regarde ceci:
http://pageperso.aol.fr/balltrap34/demohijack.htm
si tu as hijackthis, poste un rapport
sinon telecharge hijackthis ici:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijack
et surtout pas dans un dossier temporaire (temp)
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
Si tu as du mal, regarde ceci:
http://pageperso.aol.fr/balltrap34/demohijack.htm
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
329
13 juil. 2005 à 00:20
13 juil. 2005 à 00:20
moe jette un oeil sur le post de qeueud1331
j ai fait un reg regarde si j en est pas oublier 4 yeus vale mieux que 2
j ai fait un reg regarde si j en est pas oublier 4 yeus vale mieux que 2
stefnet
Messages postés
23
Date d'inscription
mardi 12 juillet 2005
Statut
Membre
Dernière intervention
22 octobre 2005
13 juil. 2005 à 00:43
13 juil. 2005 à 00:43
Voici le log
Logfile of HijackThis v1.99.1
Scan saved at 00:29:03, on 13/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Outils\AntiVirusAvast\aswUpdSv.exe
C:\Outils\AntiVirusAvast\ashServ.exe
C:\Outils\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Maison et familles\Finances\ECB.exe
C:\Outils\ANTIVI~2\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Outils\AntiVirusAvast\ashMaiSv.exe
C:\Outils\AntiVirusAvast\ashWebSv.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Outils\Mozilla\mozilla.exe
C:\Program Files\PowerArchiver\POWERARC.EXE
C:\DOCUME~1\Stefan\LOCALS~1\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32/left.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Outils\ANTISP~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "C:\Maison et familles\Finances\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
O4 - HKLM\..\Run: [fYpGRoEw] C:\PROGRA~1\wwqswsov\Z0hCBcBN.exe
O4 - HKLM\..\Run: [Registry oidet] win32.exe
O4 - HKLM\..\Run: [Windows Executable] sysprot.exe
O4 - HKLM\..\Run: [avast!] C:\Outils\ANTIVI~2\ashDisp.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Outils\Outils internet\popup\PopUp Killer\popupkiller.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe
O4 - HKLM\..\RunServices: [Windows Executable] sysprot.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: SirSearch - file://C:\Program Files\PWRSDP1\Cache\SelectedContextSearch.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106134918171
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Outils\AntiVirusAvast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Outils\AntiVirusAvast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Outils\AntiVir\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
Franchement, bravo à ceux qui s'en sortent avec ça !
Je jette un oeil sur qeueud1331.
Logfile of HijackThis v1.99.1
Scan saved at 00:29:03, on 13/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Outils\AntiVirusAvast\aswUpdSv.exe
C:\Outils\AntiVirusAvast\ashServ.exe
C:\Outils\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Maison et familles\Finances\ECB.exe
C:\Outils\ANTIVI~2\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Outils\AntiVirusAvast\ashMaiSv.exe
C:\Outils\AntiVirusAvast\ashWebSv.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Outils\Mozilla\mozilla.exe
C:\Program Files\PowerArchiver\POWERARC.EXE
C:\DOCUME~1\Stefan\LOCALS~1\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32/left.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Outils\ANTISP~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "C:\Maison et familles\Finances\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
O4 - HKLM\..\Run: [fYpGRoEw] C:\PROGRA~1\wwqswsov\Z0hCBcBN.exe
O4 - HKLM\..\Run: [Registry oidet] win32.exe
O4 - HKLM\..\Run: [Windows Executable] sysprot.exe
O4 - HKLM\..\Run: [avast!] C:\Outils\ANTIVI~2\ashDisp.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Outils\Outils internet\popup\PopUp Killer\popupkiller.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe
O4 - HKLM\..\RunServices: [Windows Executable] sysprot.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: SirSearch - file://C:\Program Files\PWRSDP1\Cache\SelectedContextSearch.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106134918171
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Outils\AntiVirusAvast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Outils\AntiVirusAvast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Outils\AntiVir\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
Franchement, bravo à ceux qui s'en sortent avec ça !
Je jette un oeil sur qeueud1331.
y a pas mal de saletées
va dans le dossier C:\Program Files\wwqswsov
et dit moi si tu vois un fichier profile.dat
si oui, ouvre le avec le bloc note et copie et colle son contenu ici
a+
va dans le dossier C:\Program Files\wwqswsov
et dit moi si tu vois un fichier profile.dat
si oui, ouvre le avec le bloc note et copie et colle son contenu ici
a+
stefnet
Messages postés
23
Date d'inscription
mardi 12 juillet 2005
Statut
Membre
Dernière intervention
22 octobre 2005
13 juil. 2005 à 00:56
13 juil. 2005 à 00:56
Oui-oui, c'est un fichier qui m'a déjà bien pris la tête et il y a bien profile.dat. voici le contenu :
H \ P r o g r a m F i l e s \ w w q s w s o v \ Z 0 h C B c B N . d l l H \ P r o g r a m F i l e s \ w w q s w s o v \ Z 0 h C B c B N . e x e H \ P r o g r a m F i l e s \ w w q s w s o v \ N B c B C h 0 Z . e x e @ \ P r o g r a m F i l e s \ w w q s w s o v \ c n m l . e x e F \ P r o g r a m F i l e s \ w w q s w s o v \ p r o f i l e . d a t F \ W I N D O W S \ S y s t e m 3 2 \ d r i v e r s \ W i n I K . s y s \ R E G I S T R Y \ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ f Y p G R o E w r \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ w i n i k j \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C o n t r o l S e t 0 0 1 \ S e r v i c e s \ w i n i k
Tiens donc, winik...
A propos des saletés qui infestent ma machine, un truc pour faire du ménage maousse sans être un crac ?
A +
H \ P r o g r a m F i l e s \ w w q s w s o v \ Z 0 h C B c B N . d l l H \ P r o g r a m F i l e s \ w w q s w s o v \ Z 0 h C B c B N . e x e H \ P r o g r a m F i l e s \ w w q s w s o v \ N B c B C h 0 Z . e x e @ \ P r o g r a m F i l e s \ w w q s w s o v \ c n m l . e x e F \ P r o g r a m F i l e s \ w w q s w s o v \ p r o f i l e . d a t F \ W I N D O W S \ S y s t e m 3 2 \ d r i v e r s \ W i n I K . s y s \ R E G I S T R Y \ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ f Y p G R o E w r \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ w i n i k j \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C o n t r o l S e t 0 0 1 \ S e r v i c e s \ w i n i k
Tiens donc, winik...
A propos des saletés qui infestent ma machine, un truc pour faire du ménage maousse sans être un crac ?
A +
bien, maintenant il faudrait que tu localise le chemin exact de ces fichiers: (probablement dans c:\windows\system32)
cscrs.exe
win32.exe
sysprot.exe
mais d'abord rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
clic sur ok pour valider
ne les supprime pas pour l'instant
et dis moi aussi tout ce que contient ce dossier:
C:\WINDOWS\System32\wsxsvc
a+
cscrs.exe
win32.exe
sysprot.exe
mais d'abord rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
clic sur ok pour valider
ne les supprime pas pour l'instant
et dis moi aussi tout ce que contient ce dossier:
C:\WINDOWS\System32\wsxsvc
a+
stefnet
Messages postés
23
Date d'inscription
mardi 12 juillet 2005
Statut
Membre
Dernière intervention
22 octobre 2005
13 juil. 2005 à 09:52
13 juil. 2005 à 09:52
Je n’ai pas trouvé ces fichiers…
il existe des sysprot dans Antivir\infected : sysprot.VIR, sysprot.VIR00 et sysprot.VIR01
Là, je commence à angoisser sérieusement...
il existe des sysprot dans Antivir\infected : sysprot.VIR, sysprot.VIR00 et sysprot.VIR01
Là, je commence à angoisser sérieusement...
stefnet
Messages postés
23
Date d'inscription
mardi 12 juillet 2005
Statut
Membre
Dernière intervention
22 octobre 2005
13 juil. 2005 à 10:03
13 juil. 2005 à 10:03
Précision : j’ai bien tous les fichiers « visibles » (y compris les fichiers système).
Dans cette saleté de wwqswsov, on trouve :
Babe, dfs, exit, obj, profile, url1, url2, url8, url9 et urlx, tous avec l’extension .dat.
Dans cette saleté de wwqswsov, on trouve :
Babe, dfs, exit, obj, profile, url1, url2, url8, url9 et urlx, tous avec l’extension .dat.
S!Ri
Messages postés
931
Date d'inscription
jeudi 11 septembre 2003
Statut
Contributeur sécurité
Dernière intervention
31 juillet 2011
11
13 juil. 2005 à 10:56
13 juil. 2005 à 10:56
Salut,
télécharge:
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Execute le fichier à l'interieur du zip,
dans la fenetre qui s'affiche entre:
winik
La recherche va durer un moment puis poste le rapport ici.
a+
télécharge:
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Execute le fichier à l'interieur du zip,
dans la fenetre qui s'affiche entre:
winik
La recherche va durer un moment puis poste le rapport ici.
a+
saut s!ri
en general ca donne ca:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]
a+
en general ca donne ca:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]
a+
stefnet
Messages postés
23
Date d'inscription
mardi 12 juillet 2005
Statut
Membre
Dernière intervention
22 octobre 2005
13 juil. 2005 à 11:16
13 juil. 2005 à 11:16
Voici le rapport avec RegSrch :
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "winik" 13/07/2005 11:11:44
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]
"DisplayName"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]
"DisplayName"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000\Control]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000\Control]
"ActiveService"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]
"DisplayName"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Enum]
"0"="Root\\LEGACY_WINIK\\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinIK]
"DisplayName"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinIK\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]
"ActiveService"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]
"DisplayName"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]
"0"="Root\\LEGACY_WINIK\\0000"
Je relance hijack
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "winik" 13/07/2005 11:11:44
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]
"DisplayName"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]
"DisplayName"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000\Control]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000\Control]
"ActiveService"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]
"DisplayName"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Enum]
"0"="Root\\LEGACY_WINIK\\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinIK]
"DisplayName"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinIK\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]
"ActiveService"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]
"DisplayName"="WinIK"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]
"0"="Root\\LEGACY_WINIK\\0000"
Je relance hijack
stefnet
Messages postés
23
Date d'inscription
mardi 12 juillet 2005
Statut
Membre
Dernière intervention
22 octobre 2005
13 juil. 2005 à 11:18
13 juil. 2005 à 11:18
Voila le log de hijack :
Logfile of HijackThis v1.99.1
Scan saved at 11:14:33, on 13/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Outils\AntiVirusAvast\aswUpdSv.exe
C:\Outils\AntiVirusAvast\ashServ.exe
C:\Outils\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Maison et familles\Finances\ECB.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Outils\ANTIVI~2\ashDisp.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Outils\AntiVirusAvast\ashWebSv.exe
C:\Outils\AntiVirusAvast\ashMaiSv.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Program Files\PowerArchiver\POWERARC.EXE
C:\DOCUME~1\Stefan\LOCALS~1\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32/left.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Outils\ANTISP~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "C:\Maison et familles\Finances\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
O4 - HKLM\..\Run: [fYpGRoEw] C:\PROGRA~1\wwqswsov\Z0hCBcBN.exe
O4 - HKLM\..\Run: [Registry oidet] win32.exe
O4 - HKLM\..\Run: [Windows Executable] sysprot.exe
O4 - HKLM\..\Run: [avast!] C:\Outils\ANTIVI~2\ashDisp.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Outils\Outils internet\popup\PopUp Killer\popupkiller.EXE
O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe
O4 - HKLM\..\RunServices: [Windows Executable] sysprot.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: SirSearch - file://C:\Program Files\PWRSDP1\Cache\SelectedContextSearch.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106134918171
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Outils\AntiVirusAvast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Outils\AntiVirusAvast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Outils\AntiVir\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
a +
Logfile of HijackThis v1.99.1
Scan saved at 11:14:33, on 13/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Outils\AntiVirusAvast\aswUpdSv.exe
C:\Outils\AntiVirusAvast\ashServ.exe
C:\Outils\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Maison et familles\Finances\ECB.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Outils\ANTIVI~2\ashDisp.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Outils\AntiVirusAvast\ashWebSv.exe
C:\Outils\AntiVirusAvast\ashMaiSv.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Program Files\PowerArchiver\POWERARC.EXE
C:\DOCUME~1\Stefan\LOCALS~1\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32/left.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Outils\ANTISP~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "C:\Maison et familles\Finances\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
O4 - HKLM\..\Run: [fYpGRoEw] C:\PROGRA~1\wwqswsov\Z0hCBcBN.exe
O4 - HKLM\..\Run: [Registry oidet] win32.exe
O4 - HKLM\..\Run: [Windows Executable] sysprot.exe
O4 - HKLM\..\Run: [avast!] C:\Outils\ANTIVI~2\ashDisp.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Outils\Outils internet\popup\PopUp Killer\popupkiller.EXE
O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe
O4 - HKLM\..\RunServices: [Windows Executable] sysprot.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: SirSearch - file://C:\Program Files\PWRSDP1\Cache\SelectedContextSearch.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106134918171
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Outils\AntiVirusAvast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Outils\AntiVirusAvast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Outils\AntiVir\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
a +
salut
Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
l'aide détaillé de la manip est téléchargeable ici:
http://get.yourfile.net/qn53063.zip
Lance hijackthis:
coches les cases au début des lignes suivantes:
R3 - Default URLSearchHook is missing
O3 - Toolbar: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
O4 - HKLM\..\Run: [fYpGRoEw] C:\PROGRA~1\wwqswsov\Z0hCBcBN.exe
O4 - HKLM\..\Run: [Registry oidet] win32.exe
O4 - HKLM\..\Run: [Windows Executable] sysprot.exe
O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe
O4 - HKLM\..\RunServices: [Windows Executable] sysprot.exe
O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe
valide en cliquant sur fix checked
1- Double-clic sur KillBox.exe
(sert toi de l'aide si tu as du mal avec cette manip)
2- ouvre le bloc notes et copie la liste en gras ci-dessous
3- Selectionne "Delete on Reboot"
4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier
5- reviens sur killbox, et dans le menu du haut clic sur tool, puis sur paste from clipboard
5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI
liste à copier dans le bloc note:
C:\Program Files\wwqswsov\Z0hCBcBN.dll
C:\Program Files\wwqswsov\Z0hCBcBN.exe
C:\Program Files\wwqswsov\NBcBCh0Z.exe
C:\Program Files\wwqswsov\cnml.exe
C:\Program Files\wwqswsov\profile.dat
C:\WINDOWS\System32\win32.exe
C:\WINDOWS\System32\sysprot.exe
C:\WINDOWS\System32\cscrs.exe
C:\windows\system32\drivers\winik.sys
le pc devrait redemarrer
ensuite:
demarrer > executer
dans la boite de dialogue tape:
sc delete WinIK
valide avec OK
et dis nous ou en sont tes soucis
a+
Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
l'aide détaillé de la manip est téléchargeable ici:
http://get.yourfile.net/qn53063.zip
Lance hijackthis:
coches les cases au début des lignes suivantes:
R3 - Default URLSearchHook is missing
O3 - Toolbar: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
O4 - HKLM\..\Run: [fYpGRoEw] C:\PROGRA~1\wwqswsov\Z0hCBcBN.exe
O4 - HKLM\..\Run: [Registry oidet] win32.exe
O4 - HKLM\..\Run: [Windows Executable] sysprot.exe
O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe
O4 - HKLM\..\RunServices: [Windows Executable] sysprot.exe
O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe
valide en cliquant sur fix checked
1- Double-clic sur KillBox.exe
(sert toi de l'aide si tu as du mal avec cette manip)
2- ouvre le bloc notes et copie la liste en gras ci-dessous
3- Selectionne "Delete on Reboot"
4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier
5- reviens sur killbox, et dans le menu du haut clic sur tool, puis sur paste from clipboard
5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI
liste à copier dans le bloc note:
C:\Program Files\wwqswsov\Z0hCBcBN.dll
C:\Program Files\wwqswsov\Z0hCBcBN.exe
C:\Program Files\wwqswsov\NBcBCh0Z.exe
C:\Program Files\wwqswsov\cnml.exe
C:\Program Files\wwqswsov\profile.dat
C:\WINDOWS\System32\win32.exe
C:\WINDOWS\System32\sysprot.exe
C:\WINDOWS\System32\cscrs.exe
C:\windows\system32\drivers\winik.sys
le pc devrait redemarrer
ensuite:
demarrer > executer
dans la boite de dialogue tape:
sc delete WinIK
valide avec OK
et dis nous ou en sont tes soucis
a+