Enormes problèmes avec spywares styles Aurora

Résolu/Fermé
yanshee Messages postés 17 Date d'inscription lundi 8 décembre 2003 Statut Membre Dernière intervention 30 août 2005 - 23 août 2005 à 12:12
 Utilisateur anonyme - 28 août 2005 à 09:45
Bonjour à tous,
J'ai d'énormes problèmes avec des spywares/adwares genre Aurora, bulls eye network, sidefind,...
Ca fait déjà un moment que je me bats avec eux, et rien à faire, je n'arrive pas à m'en débarrasser. J'ai ré-installé mon PC, reformatté le disque dur, mais voilà, ces saletés reviennent tout le temps. J'ai détruit toutes mes partitions, je les ai recréées, j'ai reformatté pour l'instant uniquement C et D, j'ai ré-installé Windows(tout cela en ayant pris soin de débrancher ma connection Internet, car je l'avais déjà fait en ne la coupant pas, et là ils réapparaissaient immédiatement....). J'ai ensuite installé le SP1, me disant que cela corrigerait des failles de sécurité qui étaient peut-être exploitées (je n'ai pas installé le SP2 parce que je n'ai pas eu de bons échos du tout à son sujet....). Ensuite j'ai installé Norton. Jusqu'ici tout allait bien, j'ai vérifié dans les process et les logiciels installés, et il n'y avait rien de suspect. C'est là que je me suis reconnecté au Web, histoire de mettre à jour Norton, d'installer Ad-aware, etc... Et c'est là que cela a recommencé et que je ne sais plus quoi faire du tout. J'ai déjà regardé sur le forum et put constaté que d'autres personnes avaient rencontré des problèmes similaires, mais je n'ai pas vraiment trouvé de solutions à mes problèmes.

Alors voici mes quelques questions:
1/ Quelqu'un peut-il m'aider à me débarrasser de cela ?
2/ J'envisageais de passer à Linux dans un futur plus ou moins proche, si j'installes Linux sur ce disque dur, serai-je débarrasser de ces spywares (sachant qu'il n'y aurait que Linux sur ce disque... )?
3/ Dans le cas ou Linux serait installé sur le disque "vérolé",puis- je rajouter un deuxième disque dur et y installer XP pour créer un dual-boot sans que le DD XP ne soit contaminé?
4/ N'ayant pour l'instant rien installé sur mon PC (à part Norton, et Ad-Aware...), cela ne me poses pas de problèmes de tout réinstallé une fois de plus. Donc, si quelqu'un connaît une solution radicale genre formattage bas niveau ou autre, je suis preneur. J'ai vaguement entendu parler de fdisk, mais je n'ai pas tout compris, j'ignores si cela peut m'aider...

En tout cas, c'est très très urgent pour moi, je suis infographiste freelance, et c'est ma machine de travail qui est atteinte, je ne sais donc plus travailler et j'ai des factures à payer.... :-/

Je vous remercie d'avance d'avoir pris la peine de me lire et de toute l'aide que vous pourriez m'apporter à ce sujet !!!
A voir également:

48 réponses

jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
23 août 2005 à 12:29
salut,

aurora c'est pas bon enfin on va tenter:
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

aide en image:(Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm


A+

Jean
yanshee Messages postés 17 Date d'inscription lundi 8 décembre 2003 Statut Membre Dernière intervention 30 août 2005
23 août 2005 à 17:13
Salut,

tout d'abord merci pour ta réponse !
Alors, j'ai suivi tes indications, et voici le log de hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17:07:03, on 23/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Norton Internet Security\ccPxySvc.exe
D:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\zhomomy.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\psecure.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\WINDOWS\qplmja.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\seeve.exe
C:\Program Files\SurfAccuracy\SAcc.exe
C:\WINDOWS\System32\oco8ingr.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\BullsEye Network\bin\bargains.exe
C:\totalcmd\TOTALCMD.EXE
D:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Provan Security] psecure.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [NJfEce] C:\WINDOWS\qplmja.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [oco8ingr] C:\WINDOWS\System32\oco8ingr.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [masojab] C:\WINDOWS\System32\zhomomy.exe r
O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
O4 - HKLM\..\RunServices: [Provan Security] psecure.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Norton Internet Security\ccPxySvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Lorsque tu dis qu'Aurora c'est pas bon, qu'entends-tu par là? que le disque est possiblement condamné ?!

Encore merci pour ton attention... :)
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
23 août 2005 à 19:38
re

c'est que c'est dur à virer (parfois selon le type).

alors suis bien cette manip et ne rate pas d'etape.

► imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
► tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

--
♪ CleanUp40.exe(3)

voir demo
http://pageperso.aol.fr/balltrap34/democleanup.htm
--
telecharge ceci
http://www.downloads.subratam.org/l2mfix.exe

mais ne fais rien de plus.

---------
Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe

les diverses facons d utiliser la killbox
demo http://pageperso.aol.fr/balltrap34/killbox.htm
regarde la methode avec boc note on va l'utiliser.

----------------
► desactive ta restauration systeme

pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------

► assure toi de ceci

Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer
----------------------
► vide tes fichiers temps et tempory internet file sur tous les utilisateur

utilise ceci pour le faire
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

--------------------
► relance hijack coche ces lignes et ensuite clik sur fix

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll

O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll


O4 - HKLM\..\Run: [Provan Security] psecure.exe

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [NJfEce] C:\WINDOWS\qplmja.exe

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe

O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [oco8ingr] C:\WINDOWS\System32\oco8ingr.exe

O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe

O4 - HKLM\..\Run: [masojab] C:\WINDOWS\System32\zhomomy.exe r

O4 - HKLM\..\RunServices: [Provan Security] psecure.exe

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.popuppers.com

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

----------------------
clik sur Démarrer->exécuter->tape: services.msc

Double-clique: System Startup Service (SvcProc)

Règle-le sur "Arrêté" et "Désactivé".

-------------------------
► utilise la kill box methode bloc note (voir demo)
Kill Box :


(ici) http://www.florensac-chasse-trap.com/ section virus

demo http://pageperso.aol.fr/balltrap34/killbox.htm

et met ceci
C:\WINDOWS\svcproc.exe
C:\WINDOWS\nem220.dll
C:\WINDOWS\System32\msbe.dll
C:\Program Files\YourSiteBar\ysb.dll
psecure.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\WINDOWS\qplmja.exe
C:\Program Files\Internet Optimizer\optimize.exe"
C:\Program Files\BullsEye Network\bin\bargains.exe
C:\WINDOWS\seeve.exe
C:\Program Files\SurfAccuracy\SAcc.exe
C:\WINDOWS\System32\oco8ingr.exe
C:\Program Files\Power Scan\powerscan.exe
C:\WINDOWS\System32\zhomomy.exe r
psecure.exe
C:\Program Files\SideFind\sidefind.dll

-----------------
Supprime les dossiers:
C:\Program Files\SideFind
C:\Program Files\Power Scan
C:\Program Files\Internet Optimizer
C:\Program Files\BullsEye Network
C:\Program Files\YourSiteBar
C:\Program Files\Media Access
C:\Program Files\ISTsvc


------------------
Lance L2mfix

decompresse le double clik sur l2mfix.bat appuie sur n importe quelle touche et ensuite choisi l option 2
(à la fin le prog devrait redemarrer ton system.

refait un log et prions.

Jean
yanshee Messages postés 17 Date d'inscription lundi 8 décembre 2003 Statut Membre Dernière intervention 30 août 2005
24 août 2005 à 18:24
Re,

Alors, j'ai suivi toutes tes instructions, mais cela n'a rien changé... :-(

J'en déduis que je peux dire bye bye à mon DD. Alors, j'ai encore une ou deux questions:
1/ Mon Bios est-il infecté? Je veux dire par là, puis-je mettre un autre DD à la place de celui-là sans crainte qu'il ne se fasse infecter immédiatement après installation d'XP?

2/Puis-je utiliser mon DD vérolé sur un Linux sans craintes ?

merci, pour ton aide déjà, et merci d'avance pour la réponse a mes questions...

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
24 août 2005 à 20:15
attend, n'en deduit pas trop vite des conclusions.

refait un log hijack pour voir l'evolution. tu pourras regarder le post de eric sur nail, environ 200 posts mais on l'a eu...
yanshee Messages postés 17 Date d'inscription lundi 8 décembre 2003 Statut Membre Dernière intervention 30 août 2005
24 août 2005 à 20:28
Salut,

voici le dernier log de hijack:

Logfile of HijackThis v1.99.1
Scan saved at 20:17:15, on 24/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\Norton Internet Security\ccPxySvc.exe
D:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\kjtzopq.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\ICQLite\ICQLite.exe
C:\totalcmd\TOTALCMD.EXE
D:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
O4 - HKLM\..\Run: [LXBLKsk] C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
O4 - HKLM\..\Run: [MemoryCardManager] C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [ishfoks] C:\WINDOWS\System32\kjtzopq.exe r
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Norton Internet Security\ccPxySvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe

Je suis assez découragé je dois dire, et je compte passer une vieille bécane sous Linux, c'est pour ça que je me disais que ce serait sans doute un gain de temps de mettre le disque dans le Linux(si cela ne pose pas de problèmes) et de mettre un nouveau disque dans le XP.
Y a vraiment urgence, c'est pour cela que je pensais que ce serait la meilleure solution peut-être, mais bon essayons encore un peu de l'avoir, en tous cas merci pour ton aide et tes conseils !
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
24 août 2005 à 20:46
et bin voilà,

il s'est declaré la sale bestiole.

alors je t'expàlique. Au delà de la difficulté de le tuer, il est accompagné d'un exe aleatoire dont le nom change à qhaque demarrage.

il faut donc que tu apprennes à le reconnaitre acr on va lancer l2mfix au debut et après reboot risque de changement de nom.

pour le reconnaitre dans ton log hijack, assez simple, tu le trouveras en O4 avec une forme actuelle:
O4 - HKLM\..\Run: [ishfoks] C:\WINDOWS\System32\kjtzopq.exe r

donc entre les crochets 6 ou 7 lettres sans signifation et l'exe idem souvent suivi de la lettre r. repere le dans hijack, tu le fixera à la place de celui de ce moment que je t'indique et note le chemin, c'est à dire:

C:\WINDOWS\System32\kjtzopq.exe r (avec son nouveau nom)
afin de pouvoir le virer après.

t'inquiète pas, evident et peu de risque d'erreur.

ALLONS Y


essaie çà

Télécharger Nailfix d'ici et met le sur ton bureau
http://www.noidea.us/easyfile/file.php?download=20050515010747824
decompresse le ne l utilise pas encore


clik sur l2mfix.bat appuie sur n importe quelle touche et ensuite choisi l option 2
---------

APRES REBOOT

► desactive ta restauration systeme

pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------

► assure toi de ceci

Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer
----------------------
► vide tes fichiers temps et tempory internet file sur tous les utilisateur

utilise ceci pour le faire
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe


--------------------
► relance hijack coche ces lignes et ensuite clik sur fix

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [ishfoks] C:\WINDOWS\System32\kjtzopq.exe r

O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe


----------------------
clik sur Démarrer->exécuter->tape: services.msc

Double-clique: System Startup Service

Règle-le sur "Arrêté" et "Désactivé".

-------------------------
► lance killbox
copie dans le bloc note
C:\WINDOWS\Nail.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\System32\kjtzopq.exe r
c:\windows\SvcProc.exe

-----------------

après redemarrage, supprime
C:\Program Files\Media Access << le dossier
----------------

► repasse l2mfix option 2

-----------
► passe nail fix


redemarre et refait un hijack

t'inquiète pas si çà marche pas y a encore des trucs à faire.
yanshee Messages postés 17 Date d'inscription lundi 8 décembre 2003 Statut Membre Dernière intervention 30 août 2005
24 août 2005 à 21:47
J'ai suivi toutes tes instructions, et voici le dernier log de hijack:

Logfile of HijackThis v1.99.1
Scan saved at 21:38:14, on 24/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\tqqqbo.exe
D:\Norton Internet Security\ccPxySvc.exe
D:\Norton AntiVirus\navapsvc.exe
C:\totalcmd\TOTALCMD.EXE
D:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
O4 - HKLM\..\Run: [LXBLKsk] C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
O4 - HKLM\..\Run: [MemoryCardManager] C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [lueyvho] C:\WINDOWS\System32\tqqqbo.exe r
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Norton Internet Security\ccPxySvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

2 petites remarques:
- lorsque je lance cleanup, il me demande de me delogger et de me relogger pour que les changements prennent effet, comme tu n'avais rien préciser, je ne me suis pas deloggé me disant que je devais sans doute continuer la procédure puisque l'on redémarre plus loin. Je ne sais pas si j'ai bien fait...

- l2mfix m'a affiché des erreurs après le reboot (dans la fenêtre turquoise, lorsqu'il scanne...), genre zip error, Error, Cannot find a process with an image name of rundll32.exe, etc... Peut-être est-ce normal, mais je voulais juste te le signaler au cas où cela ne le serait pas...
Utilisateur anonyme
24 août 2005 à 21:58
salut

pas facile à deloger nail !!

en attendant le retour de jean, telecharge find'it ici:
http://forums.net-integration.net/index.php?act=Attach&type=post&id=142443
dezippe le et lance findit's.bat et poste le rapport qu'il va generer

a+
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
24 août 2005 à 22:02
Merci Moe,

faut vraiment que je fille cas de divorce.

j'ai remis le post d'eric et je me suis gourré poour coller, je voulais faire

UNE CORRECTION/

Avec le bloc-notes, ouvre le fichier : C: \WINDOWS\system32\drivers\etc\hosts
IL NE DEVRAIT CONTENIR QUE
127.0.0.1 localhost

si tel n'est pas le cas

Dans la fenêtre, fais Edition > Sélectionner tout puis appuie sur la touche suppr
Ensuite tape ceci sur la première ligne : "127.0.0.1 localhost" (sans les guillemets)
Puis fais "Fichier" > "Enregistrer" et enfin redémarre.

Le fichier hosts ne doit plus contenir que :
127.0.0.1 localhost



ensuite voir le truc avec la reparation de windows
la suppression des cles invalides
et nettoyage de nail et aleatoire.

on sait jamais.

Merci pour la suite je reprends demain (si toujours en vie).

Lol

bonne soirée à tous les 2
Utilisateur anonyme
24 août 2005 à 22:05
lol

à demain (si toujours en vie).

a+
yanshee Messages postés 17 Date d'inscription lundi 8 décembre 2003 Statut Membre Dernière intervention 30 août 2005
25 août 2005 à 12:24
Salut,

alors voilà j'ai utilisé findit, mais il m'a affiché des messages d'alerte avec une histoire de windows 16-bit et que le logiciel ne pouvait pas fonctionner. Néanmoins, après avoir cliquer de multiples fois sur ignore, le scan a fini par se lancer, et en voici le résultat, seulement je ne sais pas à quel point ces messages d'alerte ont pu altérer le résultat du scan...


Microsoft Windows XP [Version 5.1.2600]
The current date is: jeu. 25/08/2005
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first


»»»»» lagitamate file's can/will show in this section.

»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Volume in drive C is System
Volume Serial Number is 5474-ADDB

Directory of C:\WINDOWS\SYSTEM32

»»»»» Checking for SAHAgent ico files.
Volume in drive C is System
Volume Serial Number is 5474-ADDB

Directory of C:\WINDOWS\system32

22/10/2001 03:10 4.398 SBLive.ico
1 File(s) 4.398 bytes
0 Dir(s) 7.045.169.152 bytes free

»»»»»»»»»»»»»»»»»»»»»»»».

HKEY_CURRENT_USER\Software\aurora\AUI3d5OfSInst
HKEY_CURRENT_USER\Software\aurora\AUC3n5trMsgSDisp
HKEY_CURRENT_USER\Software\aurora\AUs3t5icky1S
HKEY_CURRENT_USER\Software\aurora\AUs3t5icky2S
HKEY_CURRENT_USER\Software\aurora\AUs3t5icky3S
HKEY_CURRENT_USER\Software\aurora\AUs3t5icky4S
HKEY_CURRENT_USER\Software\aurora\AUC1o3d5eOfSFinalAd
HKEY_CURRENT_USER\Software\aurora\AUT3i5m7eOfSFinalAd
HKEY_CURRENT_USER\Software\aurora\AUD3s5tSSEnd
HKEY_CURRENT_USER\Software\aurora\AU3N5a7tionSCode
HKEY_CURRENT_USER\Software\aurora\AUP3D5om
HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSCheckSIn
HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSMots
HKEY_CURRENT_USER\Software\aurora\AUM3o5deSSync
HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSCab
HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSEx
HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSLstest
HKEY_CURRENT_USER\Software\aurora\AUB3D5om
HKEY_CURRENT_USER\Software\aurora\AUE3v5nt
HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSBath
HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSysSInf
HKEY_CURRENT_USER\Software\aurora\AUL3n5Title
HKEY_CURRENT_USER\Software\aurora\AUC3u5rrentSMode
HKEY_CURRENT_USER\Software\aurora\AUC3n5tFyl
HKEY_CURRENT_USER\Software\aurora\AUI3g5noreS
HKEY_CURRENT_USER\Software\aurora\AUS3t5atusOfSInst
HKEY_CURRENT_USER\Software\aurora\AUL3a5stSSChckin
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon\Driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon\Driver


Concernant le fichier C: \WINDOWS\system32\drivers\etc\hosts, il ne contenait que la ligne 127.0.0.1 localhost, ainsi que des lignes de commentaires qui expliquaient le fonctionnement du fichier. J'ai supprimer les lignes de commentaires, je ne penses pas que cela changera grand-chose, mais bon, puisque Jean dit qu'il ne doit rester que la ligne 127..., je n'ai donc laissé que cette ligne.

Je vous remercie énormément tous les deux pour votre aide et votre patience avec moi !
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
25 août 2005 à 16:22
Re ,

là on voit bien ou sont les cles liées à aurora (nail).

cependant, ne connaissant pas ce logiciel, je laisserais le soin à moe de le decripter avant de te preconiser d'autres manip, on est en train de le cerner...
A+

( ce soir je pense).
Utilisateur anonyme
25 août 2005 à 17:50
salut

les clés du registre sont normallement virées par nailfix, en fait je recherchais plutot la présence de fichiers.

tu peux quand meme essayer de virer ces 3 clés manuellement:

HKEY_CURRENT_USER\Software\aurora
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon

a+
yanshee Messages postés 17 Date d'inscription lundi 8 décembre 2003 Statut Membre Dernière intervention 30 août 2005
26 août 2005 à 11:11
Re,

alors voilà, j'ai viré manuellement(en utilisant regedit) les clés, seulement il y en a une que je n'ai pas trouvée, c'est la deuxième:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon

j'ai fait une recherche dans le registre sur Zepmon, mais il n'a rien trouvé...

En attendant, voici le dernier log de hijack:
Logfile of HijackThis v1.99.1
Scan saved at 11:05:20, on 26/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\uqphzo.exe
D:\Norton Internet Security\ccPxySvc.exe
D:\Norton AntiVirus\navapsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\totalcmd\TOTALCMD.EXE
D:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
O4 - HKLM\..\Run: [LXBLKsk] C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
O4 - HKLM\..\Run: [MemoryCardManager] C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [pxlphi] C:\WINDOWS\System32\uqphzo.exe r
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Norton Internet Security\ccPxySvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

On voit qu'il est toujours là:
O4 - HKLM\..\Run: [pxlphi] C:\WINDOWS\System32\uqphzo.exe r

Lorsque je regardes dans ma liste de logiciels installés dans le control panel, il affiche encore ceux-ci:
-PowerScan
-Select Cashback
-Surf Accuracy
-ABI Networks

voilà, c'est tous les renseignements que je peux vous fournir pour le moment, j'attends la suite de vos instructions... ;-)

PS: encore merci, je sais que c'est la 200e fois que je le dis, mais bon...
Utilisateur anonyme
26 août 2005 à 17:15
salut

reposte un hijack et ne redemarre pas ton pc

a+
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
26 août 2005 à 17:27
salut a tous
moe fait lui virer definitivement son service via un reg cela ont serat plus sur


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svcproc.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Startup Service]
"start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Startup Service]
"start"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
"start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
"start"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Startup Service]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\System Startup Service]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\System Startup Service]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\System Startup Service]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc]
yanshee Messages postés 17 Date d'inscription lundi 8 décembre 2003 Statut Membre Dernière intervention 30 août 2005
26 août 2005 à 17:36
ok, le dernier log:

Logfile of HijackThis v1.99.1
Scan saved at 17:32:37, on 26/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\uqphzo.exe
D:\Norton Internet Security\ccPxySvc.exe
D:\Norton AntiVirus\navapsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\totalcmd\TOTALCMD.EXE
D:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
O4 - HKLM\..\Run: [LXBLKsk] C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
O4 - HKLM\..\Run: [MemoryCardManager] C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [pxlphi] C:\WINDOWS\System32\uqphzo.exe r
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Norton Internet Security\ccPxySvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

PS: j'ai fait un scan avec Norton, et il m'a trouvé psecure.exe qu'il m'a enlevé selon lui...
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
26 août 2005 à 17:47
ouvre le bloc note et copie colle ceci entre les etoiles (pas les etoiles)

*******
REGEDIT4

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svcproc.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Startup Service]
"start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Startup Service]
"start"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
"start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
"start"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Startup Service]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\System Startup Service]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\System Startup Service]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\System Startup Service]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc]

*******
enregistre le sur ton bureau et nomme le yan.reg
et dans type met sur tous fichier

double clik sur se fichier et accepte la fusion
et refait un hijack ne redemarre pas
Utilisateur anonyme
26 août 2005 à 17:52
telecharge ce bat, il va lister tout ce qui ce trouve dans program files
http://get.yourfile.net/sy72569.zip
dezippe le, lance le et poste le rapport

a+