Explorer.exe virus en action

lolejc Messages postés 2 Statut Membre -  
Rumbacampus Messages postés 1244 Statut Membre -
Bonjour à tous,

je suis novice en informatique (et d'internet) et depuis 5 jours j'ai un message d'explorer.exe qui me dit un message d'alerte toutes les 15 secondes et qui reste à l'écran :
Voici le report fait à Microsoft :
Virus alert: A virus has been detected on your computer
Thank you for submitting an error report.
Problem description
The error was likely caused by:
TrojanDownloader:Win32/Purstiu.A
Solution
A solution is available. To remove TrojanDownloader:Win32/Purstiu.A, Microsoft recommends that you download the Malicious Software Removal Tool. Click the following link for more information about this tool.

J'ai recherché des messages antérieurs et j'ai lu que je n'étais pas le seul.
J'ai téléchargé des logiciels que plusieurs disent biens mais rien n'y fait ?????
Voici mon Hijack (là aussi j'ai découvert ce truc grace au forum et j'ai téléchargé HijackThis !!)
Logfile of HijackThis v1.99.1
Scan saved at 18:06:10, on 14/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dwwin.exe
C:\Documents and Settings\massonie\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll (file missing)
O2 - BHO: (no name) - {0E558C5F-52E2-6918-4DF0-10D868909A32} - C:\WINDOWS\cdmagent\gbfqokdomb.dll (file missing)
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\sachook.dll (file missing)
O2 - BHO: (no name) - {2A6690B9-A48F-00A8-7E96-923F587B1C96} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AEBA4AF6-6097-463A-A6CF-5444B176DDBD} - C:\WINDOWS\System32\fool.dll (file missing)
O2 - BHO: (no name) - {B0067506-B897-E01A-BCC8-B7FEDDF50DB0} - C:\WINDOWS\System32\lxfhtx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [winservit] cassl.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [t0sb5gm2] C:\WINDOWS\System32\t0sb5gm2.exe
O4 - HKLM\..\Run: [a6n631id] C:\WINDOWS\System32\a6n631id.exe
O4 - HKLM\..\Run: [FpF1dIjAK] C:\WINDOWS\poabkcg.exe
O4 - HKLM\..\Run: [bO²ùð\×y-¯Œ] C:\WINDOWS\poabkcg.exe
O4 - HKLM\..\Run: [cubnbsu] c:\windows\system32\rjitjpb.exe r
O4 - HKLM\..\Run: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\xtdllnmz.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MSChoExE] suge.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svshost.exe
O4 - HKLM\..\Run: [Microsoft Windows Securety] wurguar.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\jeppwq.exe
O4 - HKLM\..\Run: [Microsoft Time Manager] dveldr.exe
O4 - HKLM\..\Run: [MS Unix Binary] njhdg.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Securety] wurguar.exe
O4 - HKLM\..\RunServices: [winservit] cassl.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] njhdg.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winservit] cassl.exe
O4 - HKCU\..\Run: [MS Unix Binary] njhdg.exe
O4 - HKCU\..\Run: [Tkn] C:\WINDOWS\System32\??plorer.exe
O4 - HKCU\..\Run: [Raat] C:\Program Files\eerb\rdre.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1051.dll,InstantAccess
O4 - HKCU\..\RunOnce: [CleanUp!] C:\PROGRA~1\CleanUp!\cleanup.exe /WindowsRestart
O4 - Startup: Anti-Pub.lnk = C:\Documents and Settings\massonie\Bureau\antipub.exe
O4 - Global Startup: NkvMon.exe.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O20 - Winlogon Notify: style2 - C:\WINDOWS\q784359_disk.dll
O21 - SSODL: mtkle - {FD5DEB97-A29A-470D-9986-A59CFE706F47} - C:\WINDOWS\System32\qodhru32.dll (file missing)
O21 - SSODL: mtklefa - {7AF8A5B1-5845-48F4-D493-91128BB3E5BD} - C:\WINDOWS\System32\tkbn32.dll (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Merci de prendre du temps à résoudre mon problème !!!!!
LoleJC

36 réponses

  • 1
  • 2
Résumé de la discussion

Un utilisateur novice signale une infection sous Windows XP avec des alertes explorer.exe répétées et un rapport Microsoft évoquant TrojanDownloader:Win32/Purstiu.A, nécessitant une désinfection du système. Plusieurs réponses suggèrent de démarrer en mode sans échec, puis d’utiliser HijackThis pour identifier et supprimer des composants et entrées malveillantes, notamment des entrées Run et des barres d’outils indésirables. Des conseils complémentaires évoquent l’usage d’outils comme SpywareBlaster, Ad-Aware, Spybot et le remplacement du navigateur par défaut (passer à Firefox) afin de réduire les risques et éviter les téléchargements douteux. D’autres recommandations insistent sur la prudence vis-à-vis les mises à jour et les liens de sécurité, et préconisent de vérifier les éléments de démarrage et de réactiver pare-feu et antivirus.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Rumbacampus Messages postés 1244 Statut Membre 184
     
    Bonjour

    Pourquoi ne télécharges-tu pas l'outil de microsoft ?
    Pour ce troyen, il est efficace.

    @+
    0
  2. Utilisateur anonyme
     
    re,
    toute maniere il est infecté de partout lol, faux analyser hijack this...prend le rumba

    a+
    0
  3. Rumbacampus Messages postés 1244 Statut Membre 184
     
    Re

    y a au moins 40 lignes a fixer...+ quelques fichiers à trouver et à effacer en mode sans échec...y-a du taf...
    lolejc, scannes avec spybot SD et adaware en mode sans echec, passes ton antivirus , supprimes tout et reposte un log hijackthis.
    Je dois m'absenter pour un moment, j'ai des rappels à l'ordre pour le repas !

    @+
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Rumbacampus Messages postés 1244 Statut Membre 184
     
    Re

    Dis-moi, je n'ai pas vu d'antivirus, ni de pare-feu...
    Vas voir là les principes essentiels de sécurité :
    http://sebsauvage.net
    Ensuite, télécharges un antivirus gratuit et un parefeu gratuit.
    Installes-les et désactives le parefeu de windows s'il était activé.
    Fais tes mises à jour de sécurité windows et téléchrges la dernière version d'internet Explorer (clic droit sur poste de travail, tu désactives mises à jour automatiques, et tu lances une mise à jour manuelle).
    Ensuite, en mode sans échec, (tapotes la touche F8 au démarrage, t'inquiètes, ça peut être très long) )lances les logiciels Spybot SD et Ad-Aware, ton antivirus et supprimes tout ce qu'ils trouvent. Arrète ton ordi, éteints-le et relances-le en mode normal
    Crée un point de restauration (je suppose que tu as Windows XP? sinon, donnes ton système d'exploitation...pour créer ton point, fais "Démarrer"/Programes/Outils systeme/restauration),
    Vas dans "démarrer" "executer" tapes cleanmgr. tapes sur OK.
    Choisis "autre option", "nettoyer" OK (ça effacera les anciennes restaurations), et supprimes tous les fichiers inutiles.
    Ensuite, lances hijackthis et copies le log ici.

    Voilà un peu de boulot qu'il faut faire de toutes façon, sinon ton ordi se réinfectera plus vite qu'on arrivera à le désinfecter.
    Je verrai ton log demain et t'indiquerai la marche à suivre pour assainir ton système.

    Salut & @+
    0
  6. lolejc Messages postés 2 Statut Membre
     
    OK merci !
    je vais essayer tout ça
    @+
    Lolejc
    0
  7. lolejc
     
    Re salut !
    Bon j'ai fait ta démarche :
    J'ai téléchargé la mise à jour de Microsoft et effectivement je n'ai plus les alertes d'explorer.exe.
    J'ai mis Zone alarm comme pare feu, j'ai lancé Spybot et ad-aware et l'anti virus a2free.

    J'ai passé clean-up également.
    Merci pour la suite du nettoyage et @+
    Lolejc

    Voici mon hijack :
    Logfile of HijackThis v1.99.1
    Scan saved at 23:36:36, on 14/07/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Eset\nod32kui.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\njhdg.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\System32\??plorer.exe
    C:\Program Files\eerb\rdre.exe
    C:\Program Files\Nikon\NkView6\NKVMON.EXE
    C:\Documents and Settings\massonie\Bureau\antipub.exe
    C:\Documents and Settings\massonie\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll (file missing)
    O2 - BHO: (no name) - {0E558C5F-52E2-6918-4DF0-10D868909A32} - C:\WINDOWS\cdmagent\gbfqokdomb.dll (file missing)
    O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\sachook.dll (file missing)
    O2 - BHO: (no name) - {2A6690B9-A48F-00A8-7E96-923F587B1C96} - (no file)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {AEBA4AF6-6097-463A-A6CF-5444B176DDBD} - C:\WINDOWS\System32\fool.dll (file missing)
    O2 - BHO: (no name) - {B0067506-B897-E01A-BCC8-B7FEDDF50DB0} - C:\WINDOWS\System32\lxfhtx.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
    O4 - HKLM\..\Run: [winservit] cassl.exe
    O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
    O4 - HKLM\..\Run: [t0sb5gm2] C:\WINDOWS\System32\t0sb5gm2.exe
    O4 - HKLM\..\Run: [a6n631id] C:\WINDOWS\System32\a6n631id.exe
    O4 - HKLM\..\Run: [FpF1dIjAK] C:\WINDOWS\poabkcg.exe
    O4 - HKLM\..\Run: [bO²ùð\×y-¯Œ] C:\WINDOWS\poabkcg.exe
    O4 - HKLM\..\Run: [cubnbsu] c:\windows\system32\rjitjpb.exe r
    O4 - HKLM\..\Run: [Windows Update Manager] updmgr.exe
    O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\xtdllnmz.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [MSChoExE] suge.exe
    O4 - HKLM\..\Run: [Microsoft Windows Update] svshost.exe
    O4 - HKLM\..\Run: [Microsoft Windows Securety] wurguar.exe
    O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\jeppwq.exe
    O4 - HKLM\..\Run: [Microsoft Time Manager] dveldr.exe
    O4 - HKLM\..\Run: [MS Unix Binary] njhdg.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\RunServices: [Microsoft Windows Securety] wurguar.exe
    O4 - HKLM\..\RunServices: [winservit] cassl.exe
    O4 - HKLM\..\RunServices: [MS Unix Binary] njhdg.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [winservit] cassl.exe
    O4 - HKCU\..\Run: [MS Unix Binary] njhdg.exe
    O4 - HKCU\..\Run: [Tkn] C:\WINDOWS\System32\??plorer.exe
    O4 - HKCU\..\Run: [Raat] C:\Program Files\eerb\rdre.exe
    O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1051.dll,InstantAccess
    O4 - Startup: Anti-Pub.lnk = C:\Documents and Settings\massonie\Bureau\antipub.exe
    O4 - Global Startup: NkvMon.exe.lnk = ?
    O4 - Global Startup: Adobe Gamma Loader.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121372831280
    O20 - Winlogon Notify: style2 - C:\WINDOWS\q784359_disk.dll (file missing)
    O21 - SSODL: mtkle - {FD5DEB97-A29A-470D-9986-A59CFE706F47} - C:\WINDOWS\System32\qodhru32.dll (file missing)
    O21 - SSODL: mtklefa - {7AF8A5B1-5845-48F4-D493-91128BB3E5BD} - C:\WINDOWS\System32\tkbn32.dll (file missing)
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing)
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
    0
  8. Rumbacampus Messages postés 1244 Statut Membre 184
     
    Re

    Ta version internet n’a pas l’air d’être à jour (dernière version 600.2800.1106) de même, télécharge au moins le SP1 de windows avec toutes les mises à jour de sécurité, sur le site windows update, sinon, tu reviendras bien vite sur ce post…
    De même, tu as mis un pare-feu et un antivirus, c’est bien, mais n’oublies pas Spybot SD et Ad-Aware, sinon, même motif, même punition..
    Je te conseilles aussi, une fois tes problèmes résolus d’installer Firefox et de le choisir comme naviguateur par défault.
    Pour commencer on va télécharger deux logiciels le premier, JV16 Tools, servira à nettoyer la base de registre une fois la désinfection finie.
    Le second, Starter, permettra d’analyser les programmes chargés au départ de Windows, en indiquant aussi l’éxécutable concerné et permettra de désactiver temporairement ou définitivement ces programmes.
    http://telechargement.zebulon.fr/201-jv16-powertools.html
    http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,39068625s,00.htm
    Installes ces programmes

    C’est quoi eerb dans program files ? Si tu connais tu laisses sinon, tu arretes le process avec ctr +Alt +Sup et tu regardes si il y a un programme uninstall dans le dossier. Si oui, désinstalles.
    Sinon, effaces rde.exe

    Va dans le gestionnaire de taches de Windows et arretes (si tu les trouves)
    njhdg.exe
    ??explorer.exe
    (rde.exe CF plus haut)
    cassl.exe
    UNMT.EXE
    t0sb5gm2.exe
    a6n631id.exe
    poabkcg.exe
    rjitpb. Exe r
    updmgr.exe
    xtdllnmz.exe
    suge.exe
    svshost.exe
    wurguar.exe
    jeppwq.exe
    dveldr.exe
    njhdg.exe
    cassl.exe

    Ensuite, lances starter. Vas sur « Démarrage » Décoches les lignes où apparaissent les exécutifs ci-dessus (ceux que tu trouves). Profites-en pour noter le chemin du fichier.
    Pour trouver les chemins des fichiers restants, utilises la fonction "rechercher" en spécifiant de rechercher dans les dossiers et fichiers cachés.
    Au préalable, il faut afficher tous les dossiers.
    Cliques sur démarrer/panneau de configuration/option des dossiers/affichage
    Coches "afficher les dossiers cachés"
    Décoches la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
    Décoches "masquer les extensions dont le type est connu "
    Puis fais «Ok» pour valider les changements.
    Et appliques.

    Une fois que tu as localisé ces fichiers, effaces-les.
    Ensuite, fix les lignes :
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll
    O2 - BHO: (no name) - {0E558C5F-52E2-6918-4DF0-10D868909A32} - C:\WINDOWS\cdmagent\gbfqokdomb.dll
    O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\sachook.dll
    O2 - BHO: (no name) - {2A6690B9-A48F-00A8-7E96-923F587B1C96}
    O2 - BHO: (no name) - {AEBA4AF6-6097-463A-A6CF-5444B176DDBD} - C:\WINDOWS\System32\fool.dll
    O2 - BHO: (no name) - {B0067506-B897-E01A-BCC8-B7FEDDF50DB0} - C:\WINDOWS\System32\lxfhtx.dll
    O4 - HKLM\..\Run: [winservit] cassl.exe
    O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
    O4 - HKLM\..\Run: [t0sb5gm2] C:\WINDOWS\System32\t0sb5gm2.exe
    O4 - HKLM\..\Run: [a6n631id] C:\WINDOWS\System32\a6n631id.exe
    O4 - HKLM\..\Run: [FpF1dIjAK] C:\WINDOWS\poabkcg.exe
    O4 - HKLM\..\Run: [bO² ùð\×y-¯Œ] C:\WINDOWS\poabkcg.exe
    O4 - HKLM\..\Run: [cubnbsu] c:\windows\system32\rjitjpb.exe r
    O4 - HKLM\..\Run: [Windows Update Manager] updmgr.exe
    O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\xtdllnmz.exe
    O4 - HKLM\..\Run: [MSChoExE] suge.exe
    O4 - HKLM\..\Run: [Microsoft Windows Update] svshost.exe
    O4 - HKLM\..\Run: [Microsoft Windows Securety] wurguar.exe
    O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\jeppwq.exe
    O4 - HKLM\..\Run: [Microsoft Time Manager] dveldr.exe
    O4 - HKLM\..\Run: [MS Unix Binary] njhdg.exe
    O4 - HKLM\..\RunServices: [Microsoft Windows Securety] wurguar.exe
    O4 - HKLM\..\RunServices: [winservit] cassl.exe
    O4 - HKLM\..\RunServices: [MS Unix Binary] njhdg.exe
    O4 - HKCU\..\Run: [winservit] cassl.exe
    O4 - HKCU\..\Run: [MS Unix Binary] njhdg.exe
    O4 - HKCU\..\Run: [Tkn] C:\WINDOWS\System32\??plorer.exe
    O4 - HKCU\..\Run: [Raat] C:\Program Files\eerb\rdre.exe
    O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1051.dll,InstantAccess
    O4 - Global Startup: NkvMon.exe.lnk = ?
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O20 - Winlogon Notify: style2 - C:\WINDOWS\q784359_disk.dll (file missing) - InconnuO20 - Winlogon Notify: style2 - C:\WINDOWS\q784359_disk.dll
    O21 - SSODL: mtkle - {FD5DEB97-A29A-470D-9986-A59CFE706F47} - C:\WINDOWS\System32\qodhru32.dll
    O21 - SSODL: mtklefa - {7AF8A5B1-5845-48F4-D493-91128BB3E5BD} - C:\WINDOWS\System32\tkbn32.dll
    O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing)
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

    On va ensuite passer JV16 pour effacer les relicats.
    Lances le programme. Vas dans préférences et choisis le FR ;
    Ensuite ? « outil registre/outils/nettoyer le registre
    Tu coches montrer les entrées ignorées
    Vérifier manuellement les entrées
    Mettre à jour l’écran parfois
    Tu lances (continuer)

    Ca peut être assez long. Une fois terminé ; tu vois des entrées vertes et des rouges. On peut supprimer sans problème les vertes.
    Choisis selectionner les entrées pouvant être supprimées sans risque..et applique.

    Crée à nouveau un point de restauration, lances cleanup et arrête l’ordinateur.
    Relances-le et reposte un log hijackthis.

    On verra ça demain, je suis absent toute la journée.

    Salut & @+
    0
  9. Rumbacampus Messages postés 1244 Statut Membre 184
     
    Re

    Ton log hijackthis, fais-le quand la connexion internet est active.

    @+
    0
  10. Rumbacampus Messages postés 1244 Statut Membre 184
     
    Re

    Je repasse vite fait.
    Fais attention, le fichier à supprimer c'est svshost.exe (ver P2P Spybot) et non pas svchost.exe (pocessus normal de Windows)

    J'essaierai de repasser demain matin,

    @+
    0
    1. lolejc
       
      Salut !

      Bon ben j'ai essayé de faire ce que tu m'as expliqué mais c'est pas évident !!!!!

      Avec JV16 j'ai bien fait tout mais je n'ais pas pu détruire les fichiers verts ???? ils étaient sélectionnés en bleu, j'ai appuyé sur suprimer mais ils sont toujours là ????

      Merci encore pour l'éclairage de l'informatique !!!
      Voici mon nouveau Hijack :

      Logfile of HijackThis v1.99.1
      Scan saved at 19:45:33, on 15/07/2005
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Eset\nod32krn.exe
      C:\WINDOWS\system32\ZONELABS\vsmon.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Eset\nod32kui.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Documents and Settings\massonie\Bureau\antipub.exe
      C:\Program Files\CleanUp!\Cleanup.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Documents and Settings\massonie\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1051.dll,InstantAccess
      O4 - Startup: Anti-Pub.lnk = C:\Documents and Settings\massonie\Bureau\antipub.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = ?
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121372831280
      O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
      O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
      0
    2. Rumbacampus Messages postés 1244 Statut Membre 184
       
      Re
      Bon, c'est déjà plus cool.
      Pour éliminer egcomservice, redémarres l'ordinateur en mode sans échec. Déroules le menu "Démarrer", "Exécuter" et tapes msconfig puis cliques sur OK .
      Actives l'onglet Démarrage . Recherches une ligne commençant par rundll32 et contenant le terme egcomservice (il existe plusieurs variantes de cet adware avec des chiffres différents). Décoches la case à gauche de la ligne en question et cliques sur les boutons Appliquer et Fermer .
      (Tu peux aussi utiliser Starter)
      Lances hijackthis.
      Fix les lignes suivantes :
      O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1051.dll,InstantAccess
      O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
      O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
      Dans C:Windows, recherches svcproc.exe, et effaces-le.
      Relances ton ordinateur en mode normal.
      Vas dans options internet.
      (Panneau de config) Mets "sécurité internet" sur "moyen".
      Confidentialité, idem.
      "Avancé" mets "paramètres par défaut".
      Dans "sécurité", vas sur "sites de confiances" cliques sur "sites" effaces les sites éventuels.
      Lances Cleanup et vides la corbeille.
      Relances un log hijackthis...
      Postes le
      @+
      0
    3. Rumbacampus Messages postés 1244 Statut Membre 184
       
      re

      Pour JV16Tools. Relances le programme. Lances les opérations de nettoyage de la base de registre. Tu as des cles vertes et des cles rouges (ou alors, t'es daltonien...)
      "selectionner"/"sélection spéciale"
      tu cliques sur "éléments qui peuvent être supprimés sans risque" effectivement, ils seront séléctionnés en bleu. Tu cliques alors sur "supprimer".
      Ca devrait marcher.
      Sauf si tu as plétore de cles à supprimer. dans ce cas, arrêtes le scan après une cinquantaine de clés, supprimes et relances jusqu'ç traitement complet.

      @+(demain, je pense)
      0
  11. Rumbacampus Messages postés 1244 Statut Membre 184
     
    Re

    Je repasse vite fait, devant m'absenter jusqu'à demain soir.
    Une fois la désinfection terminée, il faudra penser à créer un nouveau point de restauration et supprimer les anciens comme précisé en 5.
    Il faudra aussi remettre la visibilité des fichiers dans l'état initial (faire le contraire de ce qui est indiqué en 8)
    Tu peux aussi installer A2 Free (anti-trojans et worms) :
    http://www.emsisoft.net/fr/software/download
    et le lancer de temps en temps ou si pb, c'est assez complémentaire de spybotSD et ad-aware.
    Enfin, je te conseille vivement d'installer firefox :
    http://www.mozilla-europe.org/fr/products/firefox
    et de le choisir comme naviguateur par défaut.
    N'oublies pas de télécharger SP1 ou 2 et de faire les MAJ de sécurité...

    Voilà...

    @+
    0
  12. Rumbacampus Messages postés 1244 Statut Membre 184
     
    Re

    A, j'oubliais, avant de faire tout ça, en mode sans echec, vas dans sytème32 et, si tu les trouves, effaces egcomservice2.dll et/ou egcomservice_1051.dll

    salut & à+
    0
  13. lolejc
     
    Salut !
    Bon j'ai fait ce que tu m'as expliqué mais j'ai pas trouvé comment aller dans le système 32 popur effaces les 2 fichiers cités ?????
    De plus maintenant je dois sûrement avoir un virus car j'ai la free box et étant donné qu'elle est connectée sur ma carte réseau USB je dois reconfigurer à chaque connection pour éviter un bug (l'ordi s'arrête dès que la connection se fait et redémarre sans rien lui demander ???) J'ai téléphoné à l'assistance de free box et ils m'ont dis que c'était sûrement un virus ????
    Enfin après la reinstallation à chaque fois du driver je peux me connecter mais c'est la mer..
    Voici mon hijack après les effacements effectués.
    Merci d'y jeter un coup d'oeil.
    LoleJC

    Logfile of HijackThis v1.99.1
    Scan saved at 21:07:37, on 17/07/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Documents and Settings\massonie\Bureau\antipub.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\massonie\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Startup: Anti-Pub.lnk = C:\Documents and Settings\massonie\Bureau\antipub.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121372831280
    0
  14. Utilisateur anonyme
     
    salut,
    refais un hijack this en mode normal et non en sans echec
    a+
    0
  15. lolejc
     
    Voilà la bête !
    LoleJc

    Logfile of HijackThis v1.99.1
    Scan saved at 21:51:53, on 17/07/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Documents and Settings\massonie\Bureau\antipub.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Outlook Express\msimn.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\massonie\Local Settings\Temp\Répertoire temporaire 3 pour hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Startup: Anti-Pub.lnk = C:\Documents and Settings\massonie\Bureau\antipub.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121372831280
    0
  16. Utilisateur anonyme
     
    salut,
    fix ceci
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

    redemarre et remet un hiajck

    il est ou ton antivirus+ ton pare feu?

    a+
    0
  17. Rumbacampus Messages postés 1244 Statut Membre 184
     
    salut

    OK, c'est bon, on arrête...
    Tu peux aussi installer spywareblaster de javacool :
    http://www.javacoolsoftware.com/spywareblaster.html
    Mets-le à jour et ferme le programme, ta BdR sera protégée des activeX douteux.
    Et puis, ne cliques pas sur les liens à la légère, choisis Firefox comme naviguateur par défaut...

    Et, @+
    0
  18. Rumbacampus Messages postés 1244 Statut Membre 184
     
    Re salut Regis

    Je rentre à l'instant, j'ai lu trop vite..

    @+
    0
  19. Utilisateur anonyme
     
    salut rumba,
    ca va? ben essayer de le fixer avec hijack this mais un antivirus a installer

    a+
    0
  20. Rumbacampus Messages postés 1244 Statut Membre 184
     
    Re regis

    Loljec a installé Nod 2 Antivirus, je ne connais pas ?Et toi ?
    En regardant les post plus haut, je me suis rendu compte que j'avais fait effacer, dans le feu de l'action, entre deux aller/retour la ligne :
    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
    C'est une C...
    Peux-tu rattraper ça ? Je dois à nouveau m'absenter

    Merci

    @+
    0
  • 1
  • 2