Poblème inconu pour moi au secour

darmotus -  
 darmotus -
Bonjour tout le monde .

Voila mon pc est tout neuf et il est bourré de virus j'en ai marre , j'en élimine 1 et d'autre revienne , je n'avais pas de problème avec mon vieux pc c'est énervant car je n'y connait rien.
Pour me défendre j'ai antivir personal et adaware , mais cela ne résoud pas mon problème alors j'ai fait un scan sur ravantivirus.com .
Est-ce que quelqu'un peu m'aider...

Merci d'avance

Scan started at 14/08/2005 11:43:05

Scanning memory...
process://C:\WINDOWS\System32\msnq3insller.exe - Exploit:Win32/Lsass.gen -> Suspicious
process://C:\Program Files\AutoUpdate\AutoUpdate.exe - TrojanDownloader:Win32/Apropo.G -> Infected
Scanning boot sectors...
Scanning files...
C:\mgrsysie6.exe->(UPXW)->(RARSfx)->re11.REG - Trojan:WinREG/IEZones.C* -> Infected
C:\sys32patch43.exe->(UPXW)->(RARSfx) - TrojanDropper:Win32/IEZones.C -> Suspicious
C:\sys32patch43.exe->(UPXW)->(RARSfx)->re11.REG - Trojan:WinREG/IEZones.C* -> Infected
C:\Documents and Settings\Dam\Local Settings\Temporary Internet Files\Content.IE5\KLQROPQR\deds2[1].exe->(UPXW)->(RARSfx) - TrojanDropper:Win32/IEZones.C -> Suspicious
C:\Documents and Settings\Dam\Local Settings\Temporary Internet Files\Content.IE5\KLQROPQR\deds2[1].exe->(UPXW)->(RARSfx)->re11.REG - Trojan:WinREG/IEZones.C* -> Infected
C:\Documents and Settings\Dam\Local Settings\Temporary Internet Files\Content.IE5\KLQROPQR\fire[1].exe->(UPXW)->(RARSfx)->re11.REG - Trojan:WinREG/IEZones.C* -> Infected
C:\Program Files\AutoUpdate\AutoUpdate.exe - TrojanDownloader:Win32/Apropo.G -> Infected
C:\RECYCLER\S-1-5-21-682003330-2025429265-725345543-1003\Dc6.exe->(UPXW)->(RARSfx) - TrojanDropper:Win32/IEZones.C -> Suspicious
C:\RECYCLER\S-1-5-21-682003330-2025429265-725345543-1003\Dc6.exe->(UPXW)->(RARSfx)->re11.REG - Trojan:WinREG/IEZones.C* -> Infected
C:\RECYCLER\S-1-5-21-682003330-2025429265-725345543-1003\Dc7.exe->(UPXW)->(RARSfx)->re11.REG - Trojan:WinREG/IEZones.C* -> Infected
C:\WINDOWS\re11.REG - Trojan:WinREG/IEZones.C* -> Infected
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\J31A8ESP\deds2[1].exe->(UPXW)->(RARSfx) - TrojanDropper:Win32/IEZones.C -> Suspicious
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\J31A8ESP\deds2[1].exe->(UPXW)->(RARSfx)->re11.REG - Trojan:WinREG/IEZones.C* -> Infected
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\J31A8ESP\fire[1].exe->(UPXW)->(RARSfx)->re11.REG - Trojan:WinREG/IEZones.C* -> Infected

Scanned
============================
Objects: 32750
Directories: 2400
Archives: 549
Size(Kb): -344402
Infected files: 11

Found
============================
Viruses found: 3
Suspicious files: 5
Disinfected files: 0
Mail files: 266

21 réponses

  • 1
  • 2
  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    deja dit nous si tu as un pare feu stp
    0
  2. Darmotus
     
    Non sur ma connection internet je n'ai pas activé de pare feu.
    Je l'ai désactivé la semaine dernière...
    0
  3. croncorman
     
    re

    salut!,
    deja efface tout t fichier temps ce sera deja ça!!!
    0
  4. croncorman
     
    et essaye bitdefender et zone alarme pro!!
    c radicale
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    imperatif remet ton pare feu sinon a la seconde ou tu te connecte rebelote l infection
    donc pas de nettoyage tant que le pare feu et l anti virus ne sont pas activer
    0
  7. Darmotus
     
    Bon j'ai commencé par remettre mon pare feu et effectuer exactemant ces manipulations que j'ai lu sur un post..

    Met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

    1) clic droit sur poste de travail
    propriété
    restauration systeme
    coche desactivé puis appliquer

    2) demarrer
    panneau de configuration
    outil
    option des dossiers
    affichage,
    coche afficher dossier cachés
    decoche : masquer extension des fichiers dont le type est connu
    masquer les fichiers protégés du systeme d'exploitation.

    3) demarre en mode sans echec.
    Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

    4) execute cleanup40.exe

    tu relances tes scan ad aware
    puis spy boot
    puis a2 free
    et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

    vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ (1) et (2) mais en recochant ... pour retrouver la config de départ.

    redemarre
    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijackthis
    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    fais un copier coller du log entier ici.

    Apparament ca m'a virer les fichier temps et voici ce que ça me donne.....je n'ai pas encore essayer bitdefender et zone alarme pro.

    Logfile of HijackThis v1.99.1
    Scan saved at 20:17:33, on 14/08/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MSI\Core Center\CoreCenter.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\Dam\Bureau\HijackThis.exe
    C:\WINDOWS\System32\wuauclt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O1 - Hosts: 85.192.32.112 lloydstsb.co.uk
    O1 - Hosts: 85.192.32.112 online.lloydstsb.co.uk
    O1 - Hosts: 85.192.32.112 www.lloydstsb.co.uk
    O1 - Hosts: 85.192.32.112 www.lloydstsb.com
    O1 - Hosts: 85.192.32.112 personal.barclays.co.uk
    O1 - Hosts: 85.192.32.112 barclays.co.uk
    O1 - Hosts: 85.192.32.112 ibank.barclays.co.uk
    O1 - Hosts: 85.192.32.112 www.barclays.co.uk
    O1 - Hosts: 85.192.32.112 www.nwolb.com
    O1 - Hosts: 85.192.32.112 nwolb.com
    O1 - Hosts: 85.192.32.112 hsbc.co.uk
    O1 - Hosts: 85.192.32.112 www.hsbc.co.uk
    O1 - Hosts: 85.192.32.112 abbey.com
    O1 - Hosts: 85.192.32.112 www.abbey.com
    O1 - Hosts: 85.192.32.112 www.abbey.co.uk
    O1 - Hosts: 85.192.32.112 abbey.co.uk
    O1 - Hosts: 85.192.32.112 cahoot.com
    O1 - Hosts: 85.192.32.112 www.cahoot.com
    O1 - Hosts: 85.192.32.112 www.cahoot.co.uk
    O1 - Hosts: 85.192.32.112 cahoot.co.uk
    O1 - Hosts: 85.192.32.112 www.co-operativebank.co.uk
    O1 - Hosts: 85.192.32.112 co-operativebank.co.uk
    O1 - Hosts: 85.192.32.112 www.co-operativebank.com
    O1 - Hosts: 85.192.32.112 co-operativebank.com
    O1 - Hosts: 85.192.32.112 welcome2.co-operativebankonline.co.uk
    O1 - Hosts: 85.192.32.112 welcome6.co-operativebankonline.co.uk
    O1 - Hosts: 85.192.32.112 welcome8.co-operativebankonline.co.uk
    O1 - Hosts: 85.192.32.112 welcome10.co-operativebankonline.co.uk
    O1 - Hosts: 85.192.32.112 www.smile.co.uk
    O1 - Hosts: 85.192.32.112 smile.co.uk
    O1 - Hosts: 85.192.32.112 www.cajamar.es
    O1 - Hosts: 85.192.32.112 cajamar.es
    O1 - Hosts: 85.192.32.112 www.cajamar.com
    O1 - Hosts: 85.192.32.112 www.unicaja.es
    O1 - Hosts: 85.192.32.112 unicaja.es
    O1 - Hosts: 85.192.32.112 www.unicaja.com
    O1 - Hosts: 85.192.32.112 unicaja.com
    O1 - Hosts: 85.192.32.112 www.caixagalicia.es
    O1 - Hosts: 85.192.32.112 caixagalicia.es
    O1 - Hosts: 85.192.32.112 www.caixagalicia.com
    O1 - Hosts: 85.192.32.112 caixagalicia.com
    O1 - Hosts: 85.192.32.112 activa.caixagalicia.es
    O1 - Hosts: 85.192.32.112 www.caixapenedes.es
    O1 - Hosts: 85.192.32.112 caixapenedes.es
    O1 - Hosts: 85.192.32.112 www.caixapenedes.com
    O1 - Hosts: 85.192.32.112 caixapenedes.com
    O1 - Hosts: 85.192.32.112 bancae.caixapenedes.com
    O1 - Hosts: 85.192.32.112 www.caixasabadell.es
    O1 - Hosts: 85.192.32.112 caixasabadell.es
    O1 - Hosts: 85.192.32.112 www.caixasabadell.net
    O1 - Hosts: 85.192.32.112 caixasabadell.net
    O1 - Hosts: 85.192.32.112 www.cajamadrid.es
    O1 - Hosts: 85.192.32.112 cajamadrid.es
    O1 - Hosts: 85.192.32.112 www.cajamadrid.com
    O1 - Hosts: 85.192.32.112 cajamadrid.com
    O1 - Hosts: 85.192.32.112 oi.cajamadrid.es
    O1 - Hosts: 85.192.32.112 www.ccm.es
    O1 - Hosts: 85.192.32.112 ccm.es
    O1 - Hosts: 85.192.32.112 www.haspa.de
    O1 - Hosts: 85.192.32.112 haspa.de
    O1 - Hosts: 85.192.32.112 ssl2.haspa.de
    O1 - Hosts: 85.192.32.112 www.dresdner-bank.de
    O1 - Hosts: 85.192.32.112 dresdner-bank.de
    O1 - Hosts: 85.192.32.112 www.dresdner-privat.de
    O1 - Hosts: 85.192.32.112 postbank.de
    O1 - Hosts: 85.192.32.112 www.postbank.de
    O1 - Hosts: 85.192.32.112 banking.postbank.de
    O1 - Hosts: 85.192.32.112 www.sparda-b.de
    O1 - Hosts: 85.192.32.112 sparda-b.de
    O1 - Hosts: 85.192.32.112 www.bankingonline.de
    O1 - Hosts: 85.192.32.112 www.raiffeisenbank-erding.de
    O1 - Hosts: 85.192.32.112 raiffeisenbank-erding.de
    O1 - Hosts: 85.192.32.112 www.vr-networld-ebanking.de
    O1 - Hosts: 85.192.32.112 vr-networld-ebanking.de
    O1 - Hosts: 85.192.32.112 www.bnhof.de
    O1 - Hosts: 85.192.32.112 bnhof.de
    O1 - Hosts: 85.192.32.112 www.deutsche-bank.de
    O1 - Hosts: 85.192.32.112 deutsche-bank.de
    O1 - Hosts: 85.192.32.112 meine.deutsche-bank.de
    O1 - Hosts: 85.192.32.112 www.citibank.de
    O1 - Hosts: 85.192.32.112 citibank.de
    O1 - Hosts: 85.192.32.112 cipehb13.cdg.citibank.de
    O1 - Hosts: 85.192.32.112 www.dkb.de
    O1 - Hosts: 85.192.32.112 dkb.de
    O1 - Hosts: 85.192.32.112 www.sparkasse-regensburg.de
    O1 - Hosts: 85.192.32.112 sparkasse-regensburg.de
    O1 - Hosts: 85.192.32.112 www.berliner-bank.de
    O1 - Hosts: 85.192.32.112 berliner-bank.de
    O1 - Hosts: 85.192.32.112 www.berliner-sparkasse.de
    O1 - Hosts: 85.192.32.112 berliner-sparkasse.de
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
    O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
    O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    Mais je ne comprend pas car en redemarrant en mode normal j'ai toujours une interface du style mode sans echec!!
    Si quelqu'un peu deja me dire ce que j'ai ca sera déja bien.Merci.
    0
  8. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut

    ► imprime ceci pour ne rien oublier et tous faire
    tous faire dans l ordre imperativement
    -------------------------
    ► tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

    ad-aware (1)version 1.06

    (ici) http://www.florensac-chasse-trap.com/ section virus
    voir demo
    http://pageperso.aol.fr/balltrap34/adwseflash.zip
    0
  9. darmotus
     
    Re salut

    clik sur Démarrer->exécuter->tape: services.msc
    Double-clique: Network Security Service ( 11Fßä#·ºÄÖ`I)
    Règle-le sur "Arrêté" et "Désactivé".


    Voila je n'arrive pas a trouver ce fichier network security service,je me demande si j'en ai un.
    J'ai trouver nla (network location awareness).Est-ce que c'est ca?
    0
  10. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut,

    petite erreur de copier coller, balltrap voulait te dire:

    ----------------------
    clik sur Démarrer->exécuter->tape: services.msc

    Double-clique: Mouse Hardware Sync (mousehs)

    Règle-le sur "Arrêté" et "Désactivé".

    -------------------------

    puis tu continues les manip annoncées...

    ► redemarre en mode sans echec

    mode sans echec pour cela tu tapote la touche f8
    des le debut de l allumage du pc sans t arreter
    une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
    une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
    -------------------------
    ► recherche et suppr ceci

    attention seulement les fichiers si tu trouve
    C:\UNMT.EXE
    C:\Program Files\SurfAccuracy<==le dossier
    C:\WINDOWS\System32\mousehs.exe

    -----------------

    ►passe adaware et vire tous se qu il trouve
    ----------
    ►passe spy boot et vire tous se qu il trouvent
    -------------

    tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

    et precise ou en sont tes soucis
    si tu as toujours ton interface style sans echec au redemarrage
    telecharge ceci
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    a utiliser en mode sans echec
    ensuite lance l'option 2, repond oui à tout

    une fois fait, redemarre le pc

    et vérifie ceci:
    Démarrer > panneau de configuration > affichage
    clic sur l'onglet bureau
    clic sur personnalisation du bureau
    clic sur l'onglet Web
    supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
    une fois fait, ca doit etre comme sur cette image:
    http://get.yourfile.net/ie52977.gif

    puis remet un fond d'écran
    et poste le rapport
    0
  11. darmotus
     
    Merci balltrap et jean.

    Bon j'ai suivi la procédure mais je ne suis pas arrivé à trouver C:\UNMT.EXE
    C:\WINDOWS\System32\mousehs.exe
    Par contre j'ai supprimer C:\Program Files\SurfAccuracy
    Voici le rapport.


    Logfile of HijackThis v1.99.1
    Scan saved at 11:24:11, on 15/08/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MSI\Core Center\CoreCenter.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\Dam\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
    O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    Et j'ai essayé de remettre mon interface normal est exutant les infos de balltrap mais j'ai encore une interface style sans echec.
    Merci en tout cas......
    0
  12. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    telecharge ceci
    Kill Box :

    (ici) http://www.florensac-chasse-trap.com/ section virus

    demo http://pageperso.aol.fr/balltrap34/killbox.htm

    a utiliser apres

    relance hijack coche et fix
    O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE

    lance la kill box et copie colle ceci voir demo
    C:\UNMT.EXE

    et verifie ceci
    clik sur demarrer/executer et tape msconfig
    sur l onglet general regarde si demarrage normal est cocher
    si non coche le et appliquer et redemarre
    0
  13. darmotus
     
    J'ai telechargé Kill box et cliqué sur delete on reboot, coller dans la fenetre blanche C:\UNMT.EXE et cliquer sur la croix rouge et a la fin ca ma donné un message comme ca pending file rename operations registry data has been removed by external process...
    J'ai bien verifier que je suis en demarage normal et je me suis appercu que dans propriétés d'affichage,fenêtres et boutons il n'y a que windows classique et style windows xp à disparu .......
    0
  14. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    si tu as cocher delete and rebot au redemarrage il le vire
    refait un hijack
    0
  15. Darmotus
     
    Merci regis ca a fonctionné j'ai recupéré mon interface xp..
    Voici mon dernier hijack balltrap.


    Logfile of HijackThis v1.99.1
    Scan saved at 21:48:28, on 15/08/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MSI\Core Center\CoreCenter.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Documents and Settings\Dam\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
    O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    0
  16. Darmotus
     
    Je n'arrive pas a trouver ce fichier C:\UNMT.EXE on dirai qu'il n'existe pas ?
    Pare contre un des fichier C:\ me donne ce message est-ce important. C:\NTDETECT.COM
    Le processeur NTVDM à rencontré une intruction non autorisée.

    En tout cas tes démos sont bien expliqué a chaque fois...
    0
  17. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    fait ceci
    télécharge ceci Registry Search Tool
    http://www.billsway.com/vbspage/
    decompresse le et tape
    UNMT.EXE
    et copie colle le resultat dans le bloc note et donne le nous
    0
  18. Darmotus
     
    Voici le résultat..

    REGEDIT4
    ; RegSrch.vbs © Bill James

    ; Registry search results for string "UNMT.EXE" 15/08/2005 23:49:31

    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SYSTRAY"="C:\\UNMT.EXE"
    0
  19. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    ouvre le bloc note copie colle ceci
    se qui est entre les etoiles

    *********
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SYSTRAY"=-

    *****
    enregistre le sur ton bureau donne lui comme nom dar.reg
    et dans type met tous fichiers
    la vas sur ton bureau double clik dessus et accepte la fusion

    relance hijack st coche et fix la ligne en rapport
    redemarre et refait un hijack pour voir
    0
  • 1
  • 2