[win32 adware] winik.sys ne veut pas disparai

Fermé
stefnet Messages postés 23 Date d'inscription mardi 12 juillet 2005 Statut Membre Dernière intervention 22 octobre 2005 - 12 juil. 2005 à 17:18
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 16 juil. 2005 à 14:58
Bonjour,
j'ai suivi la discussion sur winik.sys mais malgré les recommandations de BallTrap, une fenêtre indique : "impossible de traiter le fichier", qui se trouve dans system 32/drivers.
Quelqu'un aurait u truc ?
Merci d'avance.
A voir également:

37 réponses

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 329
12 juil. 2005 à 17:20
salut il serait bien que tu me donne le lien du post pour me rafraichir la memoire
0
stefnet Messages postés 23 Date d'inscription mardi 12 juillet 2005 Statut Membre Dernière intervention 22 octobre 2005
12 juil. 2005 à 19:33
En fait je crois que c'était jean 38 qui avait trouvé la solution mais je m'étais retrouvé sur ton site pour télécharger KillBox (je ne sais plus comment, sûrement en furetant pour liquider d'autres bestioles)... Ca a été très utile pour liquider un trojan (je crois), TR/Spy.Haiport, mais ma bécane est toujours infestée par Win32 Adware.gen, qui a créé C:\windows\system32\drivers\winik.sys, qu'Avast identifie comme un virus (d'ailleurs, ma ligne ADSL a des coupures intempestives...).
A +
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 329
12 juil. 2005 à 19:39
essai de le virer avec la killbox mais en mode sans echec
0
stefnet Messages postés 23 Date d'inscription mardi 12 juillet 2005 Statut Membre Dernière intervention 22 octobre 2005
12 juil. 2005 à 23:42
J'ai essayé en mode sans échec... J'ai simplement "this file could not be deleted". J'ai redémarré en mode "normal" et relancé killbox, qui affiche que le fichier n'existe pas (alors qu'il est toujours là!).
De plus, il faut que je "reset" mon ordi pour revenir en mode normal : quand je veux quitter le mode "sans échec", il me laisse l'écran noir un sacré bout de temps... Ca a un rapport avec cette s... de virus ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 329
13 juil. 2005 à 00:01
tu as bien coller se chemin dans la killbox
C:\windows\system32\drivers\winik.sys
0
stefnet Messages postés 23 Date d'inscription mardi 12 juillet 2005 Statut Membre Dernière intervention 22 octobre 2005
13 juil. 2005 à 00:11
oui-oui.
Enervant non ?
0
Utilisateur anonyme
13 juil. 2005 à 00:16
salut

si tu as hijackthis, poste un rapport

sinon telecharge hijackthis ici:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijack
et surtout pas dans un dossier temporaire (temp)
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
Si tu as du mal, regarde ceci:
http://pageperso.aol.fr/balltrap34/demohijack.htm
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 329
13 juil. 2005 à 00:20
moe jette un oeil sur le post de qeueud1331
j ai fait un reg regarde si j en est pas oublier 4 yeus vale mieux que 2
0
stefnet Messages postés 23 Date d'inscription mardi 12 juillet 2005 Statut Membre Dernière intervention 22 octobre 2005
13 juil. 2005 à 00:43
Voici le log
Logfile of HijackThis v1.99.1
Scan saved at 00:29:03, on 13/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Outils\AntiVirusAvast\aswUpdSv.exe
C:\Outils\AntiVirusAvast\ashServ.exe
C:\Outils\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Maison et familles\Finances\ECB.exe
C:\Outils\ANTIVI~2\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Outils\AntiVirusAvast\ashMaiSv.exe
C:\Outils\AntiVirusAvast\ashWebSv.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Outils\Mozilla\mozilla.exe
C:\Program Files\PowerArchiver\POWERARC.EXE
C:\DOCUME~1\Stefan\LOCALS~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32/left.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Outils\ANTISP~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "C:\Maison et familles\Finances\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
O4 - HKLM\..\Run: [fYpGRoEw] C:\PROGRA~1\wwqswsov\Z0hCBcBN.exe
O4 - HKLM\..\Run: [Registry oidet] win32.exe
O4 - HKLM\..\Run: [Windows Executable] sysprot.exe
O4 - HKLM\..\Run: [avast!] C:\Outils\ANTIVI~2\ashDisp.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Outils\Outils internet\popup\PopUp Killer\popupkiller.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe
O4 - HKLM\..\RunServices: [Windows Executable] sysprot.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: SirSearch - file://C:\Program Files\PWRSDP1\Cache\SelectedContextSearch.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106134918171
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Outils\AntiVirusAvast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Outils\AntiVirusAvast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Outils\AntiVir\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
Franchement, bravo à ceux qui s'en sortent avec ça !

Je jette un oeil sur qeueud1331.
0
Utilisateur anonyme
13 juil. 2005 à 00:48
y a pas mal de saletées

va dans le dossier C:\Program Files\wwqswsov
et dit moi si tu vois un fichier profile.dat
si oui, ouvre le avec le bloc note et copie et colle son contenu ici

a+
0
stefnet Messages postés 23 Date d'inscription mardi 12 juillet 2005 Statut Membre Dernière intervention 22 octobre 2005
13 juil. 2005 à 00:56
Oui-oui, c'est un fichier qui m'a déjà bien pris la tête et il y a bien profile.dat. voici le contenu :
H \ P r o g r a m F i l e s \ w w q s w s o v \ Z 0 h C B c B N . d l l H \ P r o g r a m F i l e s \ w w q s w s o v \ Z 0 h C B c B N . e x e H \ P r o g r a m F i l e s \ w w q s w s o v \ N B c B C h 0 Z . e x e @ \ P r o g r a m F i l e s \ w w q s w s o v \ c n m l . e x e F \ P r o g r a m F i l e s \ w w q s w s o v \ p r o f i l e . d a t F \ W I N D O W S \ S y s t e m 3 2 \ d r i v e r s \ W i n I K . s y s  \ R E G I S T R Y \ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ f Y p G R o E w r \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ w i n i k j \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C o n t r o l S e t 0 0 1 \ S e r v i c e s \ w i n i k

Tiens donc, winik...
A propos des saletés qui infestent ma machine, un truc pour faire du ménage maousse sans être un crac ?
A +
0
Utilisateur anonyme
13 juil. 2005 à 01:15
bien, maintenant il faudrait que tu localise le chemin exact de ces fichiers: (probablement dans c:\windows\system32)
cscrs.exe
win32.exe
sysprot.exe


mais d'abord rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
clic sur ok pour valider

ne les supprime pas pour l'instant

et dis moi aussi tout ce que contient ce dossier:
C:\WINDOWS\System32\wsxsvc

a+
0
Utilisateur anonyme
13 juil. 2005 à 01:16
je dois arreter pour ce soir, je repasse demain en fin de matinée pour la suite

a+
0
stefnet Messages postés 23 Date d'inscription mardi 12 juillet 2005 Statut Membre Dernière intervention 22 octobre 2005
13 juil. 2005 à 09:52
Je n’ai pas trouvé ces fichiers…
il existe des sysprot dans Antivir\infected : sysprot.VIR, sysprot.VIR00 et sysprot.VIR01
Là, je commence à angoisser sérieusement...
0
stefnet Messages postés 23 Date d'inscription mardi 12 juillet 2005 Statut Membre Dernière intervention 22 octobre 2005
13 juil. 2005 à 10:03
Précision : j’ai bien tous les fichiers « visibles » (y compris les fichiers système).
Dans cette saleté de wwqswsov, on trouve :
Babe, dfs, exit, obj, profile, url1, url2, url8, url9 et urlx, tous avec l’extension .dat.
0
Utilisateur anonyme
13 juil. 2005 à 10:47
salut stefnet

reposte un hijackthis
0
S!Ri Messages postés 931 Date d'inscription jeudi 11 septembre 2003 Statut Contributeur sécurité Dernière intervention 31 juillet 2011 11
13 juil. 2005 à 10:56
Salut,

télécharge:
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Execute le fichier à l'interieur du zip,
dans la fenetre qui s'affiche entre:
winik

La recherche va durer un moment puis poste le rapport ici.

a+
0
Utilisateur anonyme
13 juil. 2005 à 11:06
saut s!ri

en general ca donne ca:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

a+
0
stefnet Messages postés 23 Date d'inscription mardi 12 juillet 2005 Statut Membre Dernière intervention 22 octobre 2005
13 juil. 2005 à 11:16
Voici le rapport avec RegSrch :
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "winik" 13/07/2005 11:11:44

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]
"DisplayName"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]
"DisplayName"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000\Control]
"ActiveService"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]
"DisplayName"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Enum]
"0"="Root\\LEGACY_WINIK\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinIK]
"DisplayName"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\WinIK\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]
"ActiveService"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]
"DisplayName"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]
"0"="Root\\LEGACY_WINIK\\0000"


Je relance hijack
0
stefnet Messages postés 23 Date d'inscription mardi 12 juillet 2005 Statut Membre Dernière intervention 22 octobre 2005
13 juil. 2005 à 11:18
Voila le log de hijack :
Logfile of HijackThis v1.99.1
Scan saved at 11:14:33, on 13/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Outils\AntiVirusAvast\aswUpdSv.exe
C:\Outils\AntiVirusAvast\ashServ.exe
C:\Outils\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Maison et familles\Finances\ECB.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Outils\ANTIVI~2\ashDisp.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Outils\AntiVirusAvast\ashWebSv.exe
C:\Outils\AntiVirusAvast\ashMaiSv.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Program Files\PowerArchiver\POWERARC.EXE
C:\DOCUME~1\Stefan\LOCALS~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32/left.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Outils\ANTISP~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "C:\Maison et familles\Finances\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
O4 - HKLM\..\Run: [fYpGRoEw] C:\PROGRA~1\wwqswsov\Z0hCBcBN.exe
O4 - HKLM\..\Run: [Registry oidet] win32.exe
O4 - HKLM\..\Run: [Windows Executable] sysprot.exe
O4 - HKLM\..\Run: [avast!] C:\Outils\ANTIVI~2\ashDisp.exe
O4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Outils\Outils internet\popup\PopUp Killer\popupkiller.EXE
O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe
O4 - HKLM\..\RunServices: [Windows Executable] sysprot.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: SirSearch - file://C:\Program Files\PWRSDP1\Cache\SelectedContextSearch.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106134918171
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Outils\AntiVirusAvast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Outils\AntiVirusAvast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Outils\AntiVirusAvast\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Outils\AntiVir\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

a +
0
Utilisateur anonyme
13 juil. 2005 à 12:18
salut

Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
l'aide détaillé de la manip est téléchargeable ici:
http://get.yourfile.net/qn53063.zip


Lance hijackthis:
coches les cases au début des lignes suivantes:
R3 - Default URLSearchHook is missing
O3 - Toolbar: PowerSearch - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
O4 - HKLM\..\Run: [fYpGRoEw] C:\PROGRA~1\wwqswsov\Z0hCBcBN.exe
O4 - HKLM\..\Run: [Registry oidet] win32.exe
O4 - HKLM\..\Run: [Windows Executable] sysprot.exe
O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe
O4 - HKLM\..\RunServices: [Windows Executable] sysprot.exe
O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe

valide en cliquant sur fix checked


1- Double-clic sur KillBox.exe
(sert toi de l'aide si tu as du mal avec cette manip)

2- ouvre le bloc notes et copie la liste en gras ci-dessous
3- Selectionne "Delete on Reboot"
4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier
5- reviens sur killbox, et dans le menu du haut clic sur tool, puis sur paste from clipboard
5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI


liste à copier dans le bloc note:

C:\Program Files\wwqswsov\Z0hCBcBN.dll
C:\Program Files\wwqswsov\Z0hCBcBN.exe
C:\Program Files\wwqswsov\NBcBCh0Z.exe
C:\Program Files\wwqswsov\cnml.exe
C:\Program Files\wwqswsov\profile.dat
C:\WINDOWS\System32\win32.exe
C:\WINDOWS\System32\sysprot.exe
C:\WINDOWS\System32\cscrs.exe
C:\windows\system32\drivers\winik.sys


le pc devrait redemarrer

ensuite:
demarrer > executer
dans la boite de dialogue tape:

sc delete WinIK

valide avec OK

et dis nous ou en sont tes soucis

a+
0