Ecran noir sur le bureau avec message virus
freak01
Messages postés
33
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
bonjour à tous,
j'ai été touché par un virus que je n'arrive pas ,apparement,à eliminer.
mon systeme à l'air de bien fonctionner mais mon bureau reste toujours noir avec un message d'alerte au virus.je ne peux evidemment resoudre le probleme puisque l'onglet "bureau" dans la categorie "affichage" n'existe plus.
auriez vous une astuce pour eradiquer mon probleme?
merci d'avance,
freak.
j'ai été touché par un virus que je n'arrive pas ,apparement,à eliminer.
mon systeme à l'air de bien fonctionner mais mon bureau reste toujours noir avec un message d'alerte au virus.je ne peux evidemment resoudre le probleme puisque l'onglet "bureau" dans la categorie "affichage" n'existe plus.
auriez vous une astuce pour eradiquer mon probleme?
merci d'avance,
freak.
A voir également:
- Ecran noir sur le bureau avec message virus
- Double ecran - Guide
- Ecran noir - Guide
- Comment recuperer un message supprimé sur whatsapp - Guide
- Capture d'écran whatsapp - Accueil - Messagerie instantanée
- Message absence thunderbird - Guide
52 réponses
salut
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijack
et surtout pas dans un dossier temporaire (temp)
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
telecharge smitfraudfix ici:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe le et lance le.
choisis l'option 1 (rechercher)
fais un copier/coller du résultat ici
a+
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijack
et surtout pas dans un dossier temporaire (temp)
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
telecharge smitfraudfix ici:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe le et lance le.
choisis l'option 1 (rechercher)
fais un copier/coller du résultat ici
a+
salut
avant de faire quoi que ce soit, est ce que tu peux faire analyser ces fichiers:
C:\WINDOWS\system32\imon1.dat
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\q42184478_disk.dll
C:\WINDOWS\system32\dmhj.dll
ici:
http://www.virustotal.com/xhtml/virustotal_en.html
et poster le resultat d'analyse pour chacuns
a+
avant de faire quoi que ce soit, est ce que tu peux faire analyser ces fichiers:
C:\WINDOWS\system32\imon1.dat
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\q42184478_disk.dll
C:\WINDOWS\system32\dmhj.dll
ici:
http://www.virustotal.com/xhtml/virustotal_en.html
et poster le resultat d'analyse pour chacuns
a+
C:\WINDOWS\system32\imon1.dat
"no virus found "pour tous les antivirus
C:\WINDOWS\QTFont.qfn
no virus found
C:\WINDOWS\q42184478_disk.dll
Kaspersky 4.0.2.24 07.27.2005 >Trojan-Downloader.Win32.Delf.pa
NOD32v2 1.1178 07.26.2005 >Win32/TrojanDownloader.Delf.PA
Sybari 7.5.1314 07.27.2005 >Trojan-Downloader.Win32.Delf.pa
C:\WINDOWS\system32\dmhj.dll
CAT-QuickHeal 7.03 07.27.2005 >StartPage.gen-m
eTrust-Vet 11.9.1.0 07.27.2005 >Win32.Startpage.FZ
Fortinet 2.36.0.0 07.27.2005 >W32/StartPage-tr
McAfee 4543 07.26.2005 >StartPage-DU.dll.dr
Sybari 7.5.1314 07.27.2005 >Win32.Startpage.FZ
VBA32 3.10.4 07.26.2005 >suspected of Trojan.StartPage.4
merci
@+
"no virus found "pour tous les antivirus
C:\WINDOWS\QTFont.qfn
no virus found
C:\WINDOWS\q42184478_disk.dll
Kaspersky 4.0.2.24 07.27.2005 >Trojan-Downloader.Win32.Delf.pa
NOD32v2 1.1178 07.26.2005 >Win32/TrojanDownloader.Delf.PA
Sybari 7.5.1314 07.27.2005 >Trojan-Downloader.Win32.Delf.pa
C:\WINDOWS\system32\dmhj.dll
CAT-QuickHeal 7.03 07.27.2005 >StartPage.gen-m
eTrust-Vet 11.9.1.0 07.27.2005 >Win32.Startpage.FZ
Fortinet 2.36.0.0 07.27.2005 >W32/StartPage-tr
McAfee 4543 07.26.2005 >StartPage-DU.dll.dr
Sybari 7.5.1314 07.27.2005 >Win32.Startpage.FZ
VBA32 3.10.4 07.26.2005 >suspected of Trojan.StartPage.4
merci
@+
salut
c'est ce que je voulais savoir
supprime smitfraudfix, et telecharge la toute derniere version de smitfraudfix (v1.3 en ligne depuis quelques minutes seulement)
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe le et lance le.
choisis l'option 1 (rechercher)
fais un copier/coller du résultat ici
apres on passera au nettoyage
a+
c'est ce que je voulais savoir
supprime smitfraudfix, et telecharge la toute derniere version de smitfraudfix (v1.3 en ligne depuis quelques minutes seulement)
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe le et lance le.
choisis l'option 1 (rechercher)
fais un copier/coller du résultat ici
apres on passera au nettoyage
a+
voici le nouveau rapport
SmitFraudFix v1.3
Rapport fait à 15:12:33,96 le 27/07/2005
Executé à partir de C:\Documents and Settings\STEPHANE\Mes
documents\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\uninstIU.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\intell32.exe PRESENT !
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and
Settings\STEPHANE\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 26/07/2005
!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\q42184478_disk.dll
C:\WINDOWS\system32\dmhj.dll
C:\WINDOWS\system32\imon1.dat
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\wppp.html
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
@+
SmitFraudFix v1.3
Rapport fait à 15:12:33,96 le 27/07/2005
Executé à partir de C:\Documents and Settings\STEPHANE\Mes
documents\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\uninstIU.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\intell32.exe PRESENT !
C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and
Settings\STEPHANE\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 26/07/2005
!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\q42184478_disk.dll
C:\WINDOWS\system32\dmhj.dll
C:\WINDOWS\system32\imon1.dat
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\wppp.html
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut
Déconnecte toi d'internet:
Ferme tout les programmes en cours
Vide le cache d'Internet Explorer et supprime les cookies:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok
Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur ok pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
lance smitfraudfix et choisis l'option 2 (fix)
repond oui à tout
ensuite
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\STEPHANE\LOCALS~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\STEPHANE\LOCALS~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {AD9B54CB-4A85-4234-9C04-741701289AAD} - C:\WINDOWS\System32\dmhj.dll
O4 - HKLM\..\Run: [*winlog] C:\WINDOWS\Config\winlog.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\STEPHANE\LOCALS~1\Temp\se.dll,DllInstall
O18 - Filter: text/html - {83D1F238-ACCA-482A-8CA1-6B5430446E0A} - C:\WINDOWS\System32\dmhj.dll
O18 - Filter: text/plain - {83D1F238-ACCA-482A-8CA1-6B5430446E0A} - C:\WINDOWS\System32\dmhj.dll
valider en cliquant sur [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime:
Supprimer les fichiers en suivant le chemin des fichiers infectés avec l'explorateur, plutot que d'utiliser la fonction "Rechercher"
S'ils sont présents, supprime:
C:\WINDOWS\q42184478_disk.dll
C:\WINDOWS\system32\dmhj.dll
C:\WINDOWS\Config\winlog.exe
vérifie au passage si ces 2 fichiers existent:
c:\windows\system32\hostx.exe
c:\windows\system32\bkinst.exe
si c'est le cas supprime les
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, tres important:
:: Supprimer les fichiers temporaires ::
vider tout le contenu de ces dossiers.
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* Ne pas oublier de vider la corbeille !
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redemarre normalement et reposte un log hijack pour vérifier l'évolution + rapport smitfraud fix option 1
Déconnecte toi d'internet:
Ferme tout les programmes en cours
Vide le cache d'Internet Explorer et supprime les cookies:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok
Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur ok pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
lance smitfraudfix et choisis l'option 2 (fix)
repond oui à tout
ensuite
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\STEPHANE\LOCALS~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\STEPHANE\LOCALS~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {AD9B54CB-4A85-4234-9C04-741701289AAD} - C:\WINDOWS\System32\dmhj.dll
O4 - HKLM\..\Run: [*winlog] C:\WINDOWS\Config\winlog.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\STEPHANE\LOCALS~1\Temp\se.dll,DllInstall
O18 - Filter: text/html - {83D1F238-ACCA-482A-8CA1-6B5430446E0A} - C:\WINDOWS\System32\dmhj.dll
O18 - Filter: text/plain - {83D1F238-ACCA-482A-8CA1-6B5430446E0A} - C:\WINDOWS\System32\dmhj.dll
valider en cliquant sur [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime:
Supprimer les fichiers en suivant le chemin des fichiers infectés avec l'explorateur, plutot que d'utiliser la fonction "Rechercher"
S'ils sont présents, supprime:
C:\WINDOWS\q42184478_disk.dll
C:\WINDOWS\system32\dmhj.dll
C:\WINDOWS\Config\winlog.exe
vérifie au passage si ces 2 fichiers existent:
c:\windows\system32\hostx.exe
c:\windows\system32\bkinst.exe
si c'est le cas supprime les
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, tres important:
:: Supprimer les fichiers temporaires ::
vider tout le contenu de ces dossiers.
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* Ne pas oublier de vider la corbeille !
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redemarre normalement et reposte un log hijack pour vérifier l'évolution + rapport smitfraud fix option 1
moe,
voici le nouveau rapport hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 15:52:50, on 27/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mqtgsvc.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\AOL 9.0\waol.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\AOL 9.0\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\Documents and Settings\STEPHANE\Mes documents\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par AOL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Taskbar] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1156C12-73C7-47CA-83F5-67A8A31FE365}: NameServer = 205.188.146.145
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
et voici celui de smitfraudfix:
SmitFraudFix v1.3
Rapport fait à 16:00:17,89 le 27/07/2005
Executé à partir de C:\Documents and Settings\STEPHANE\Mes documents\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\wppp.html PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\STEPHANE\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
en sachant que mon ecran est toujours noir.....
@+
voici le nouveau rapport hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 15:52:50, on 27/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mqtgsvc.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\AOL 9.0\waol.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\AOL 9.0\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\Documents and Settings\STEPHANE\Mes documents\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par AOL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Taskbar] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1156C12-73C7-47CA-83F5-67A8A31FE365}: NameServer = 205.188.146.145
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
et voici celui de smitfraudfix:
SmitFraudFix v1.3
Rapport fait à 16:00:17,89 le 27/07/2005
Executé à partir de C:\Documents and Settings\STEPHANE\Mes documents\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\wppp.html PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\STEPHANE\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
en sachant que mon ecran est toujours noir.....
@+
est ce que tu as accepté le nettoyage du registre ?
supprime ce fichier:
C:\WINDOWS\system32\wppp.html
vérifie ceci:
Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
une fois fait, ca doit etre comme sur cette image:
http://get.yourfile.net/ie52977.gif
supprime ce fichier:
C:\WINDOWS\system32\wppp.html
vérifie ceci:
Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
une fois fait, ca doit etre comme sur cette image:
http://get.yourfile.net/ie52977.gif
repasse le fix option 2 accepte tout
sauvegarde le rapport
redemarre le pc et poste le rapport du fix
sauvegarde le rapport
redemarre le pc et poste le rapport du fix
voici le nouveau fix:
SmitFraudFix v1.3
Rapport fait à 16:22:11,28 le 27/07/2005
Executé à partir de C:\Documents and Settings\STEPHANE\Mes documents\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
SmitFraudFix v1.3
Rapport fait à 16:22:11,28 le 27/07/2005
Executé à partir de C:\Documents and Settings\STEPHANE\Mes documents\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous:
reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer>>log.txt
reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System>>log.txt
notepad log.txt
if exist log.txt del log.txt
exit
Puis enregistrer sous et dans:
Nom du fichier, met rech.bat
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer
ensuite double clic sur rech.bat
poste le resultat du rapport
reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer>>log.txt
reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System>>log.txt
notepad log.txt
if exist log.txt del log.txt
exit
Puis enregistrer sous et dans:
Nom du fichier, met rech.bat
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer
ensuite double clic sur rech.bat
poste le resultat du rapport
voici ce que ça donne(j'espere avoir compris la demarche!):
reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer>>log.txt
reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System>>log.txt
notepad log.txt
if exist log.txt del log.txt
exit
reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer>>log.txt
reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System>>log.txt
notepad log.txt
if exist log.txt del log.txt
exit
je ne comprends pas......mon fichier est pourtant bien nommé "rech.bat"?
voici mon dernier rapport:
reg query
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>log.txt
reg query
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System>
>log.txt
notepad log.txt
if exist log.txt del log.txt
exit
voici mon dernier rapport:
reg query
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
>>log.txt
reg query
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System>
>log.txt
notepad log.txt
if exist log.txt del log.txt
exit
lol
verifie ceci:
panneau de configuration > options des dossiers > onglet affichage
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
ensuite supprime ce fichier et reprend pas à pas le post 18
en faisant bien attention à:
Nom du fichier, met rech.bat
Type de fichier: selectionne "tous les fichiers"
verifie ceci:
panneau de configuration > options des dossiers > onglet affichage
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
ensuite supprime ce fichier et reprend pas à pas le post 18
en faisant bien attention à:
Nom du fichier, met rech.bat
Type de fichier: selectionne "tous les fichiers"
ok!ça marche mieux!!!!!!!!
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun REG_BINARY 5F000000
<SANS NOM> REG_SZ
CDRAutoRun REG_BINARY 00000000
SpecifyDefaultButtons REG_DWORD 0x1
Btn_Search REG_DWORD 0x2
NoActiveDesktopChanges REG_DWORD 0x1
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr REG_DWORD 0x0
NoDispBackgroundPage REG_DWORD 0x1
NoDispAppearancePage REG_DWORD 0x1
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun REG_BINARY 5F000000
<SANS NOM> REG_SZ
CDRAutoRun REG_BINARY 00000000
SpecifyDefaultButtons REG_DWORD 0x1
Btn_Search REG_DWORD 0x2
NoActiveDesktopChanges REG_DWORD 0x1
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr REG_DWORD 0x0
NoDispBackgroundPage REG_DWORD 0x1
NoDispAppearancePage REG_DWORD 0x1
voici mon rapport hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 13:14:07, on 27/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Program Files\AOL 9.0\waol.exe
C:\Program Files\AOL 9.0\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\STEPHANE\Mes documents\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\STEPHANE\LOCALS~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\STEPHANE\LOCALS~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par AOL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {AD9B54CB-4A85-4234-9C04-741701289AAD} - C:\WINDOWS\System32\dmhj.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [*winlog] C:\WINDOWS\Config\winlog.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\STEPHANE\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [Taskbar] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1156C12-73C7-47CA-83F5-67A8A31FE365}: NameServer = 205.188.146.145
O18 - Filter: text/html - {83D1F238-ACCA-482A-8CA1-6B5430446E0A} - C:\WINDOWS\System32\dmhj.dll
O18 - Filter: text/plain - {83D1F238-ACCA-482A-8CA1-6B5430446E0A} - C:\WINDOWS\System32\dmhj.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
et voici mon rapport smitfraudfix:
SmitFraudFix v1.2
Rapport fait à 13:15:54,42 le 27/07/2005
Executé à partir de C:\Documents and Settings\STEPHANE\Mes documents\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\uninstIU.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\intell32.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\STEPHANE\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 26/07/2005
!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\q42184478_disk.dll
C:\WINDOWS\system32\dmhj.dll
C:\WINDOWS\system32\imon1.dat
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\wppp.html
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport