Enormes problèmes avec spywares styles Aurora

Résolu
yanshee Messages postés 17 Statut Membre -  
 Utilisateur anonyme -
Bonjour à tous,
J'ai d'énormes problèmes avec des spywares/adwares genre Aurora, bulls eye network, sidefind,...
Ca fait déjà un moment que je me bats avec eux, et rien à faire, je n'arrive pas à m'en débarrasser. J'ai ré-installé mon PC, reformatté le disque dur, mais voilà, ces saletés reviennent tout le temps. J'ai détruit toutes mes partitions, je les ai recréées, j'ai reformatté pour l'instant uniquement C et D, j'ai ré-installé Windows(tout cela en ayant pris soin de débrancher ma connection Internet, car je l'avais déjà fait en ne la coupant pas, et là ils réapparaissaient immédiatement....). J'ai ensuite installé le SP1, me disant que cela corrigerait des failles de sécurité qui étaient peut-être exploitées (je n'ai pas installé le SP2 parce que je n'ai pas eu de bons échos du tout à son sujet....). Ensuite j'ai installé Norton. Jusqu'ici tout allait bien, j'ai vérifié dans les process et les logiciels installés, et il n'y avait rien de suspect. C'est là que je me suis reconnecté au Web, histoire de mettre à jour Norton, d'installer Ad-aware, etc... Et c'est là que cela a recommencé et que je ne sais plus quoi faire du tout. J'ai déjà regardé sur le forum et put constaté que d'autres personnes avaient rencontré des problèmes similaires, mais je n'ai pas vraiment trouvé de solutions à mes problèmes.

Alors voici mes quelques questions:
1/ Quelqu'un peut-il m'aider à me débarrasser de cela ?
2/ J'envisageais de passer à Linux dans un futur plus ou moins proche, si j'installes Linux sur ce disque dur, serai-je débarrasser de ces spywares (sachant qu'il n'y aurait que Linux sur ce disque... )?
3/ Dans le cas ou Linux serait installé sur le disque "vérolé",puis- je rajouter un deuxième disque dur et y installer XP pour créer un dual-boot sans que le DD XP ne soit contaminé?
4/ N'ayant pour l'instant rien installé sur mon PC (à part Norton, et Ad-Aware...), cela ne me poses pas de problèmes de tout réinstallé une fois de plus. Donc, si quelqu'un connaît une solution radicale genre formattage bas niveau ou autre, je suis preneur. J'ai vaguement entendu parler de fdisk, mais je n'ai pas tout compris, j'ignores si cela peut m'aider...

En tout cas, c'est très très urgent pour moi, je suis infographiste freelance, et c'est ma machine de travail qui est atteinte, je ne sais donc plus travailler et j'ai des factures à payer.... :-/

Je vous remercie d'avance d'avoir pris la peine de me lire et de toute l'aide que vous pourriez m'apporter à ce sujet !!!
Configuration: Athlon 2400+
512Mb DDR
Geforce fx5600 Ultra
Windows XP SP1

48 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Problème récurrent de spywares et adwares (Aurora, Bulls Eye Network, SideFind) qui resurgissent malgré réinstallation complète, reformatage des disques, installation de Norton et Ad-Aware, et déconnexion volontaire lors des mises à jour.
Plusieurs conseils portent sur le nettoyage du registre et l'élimination de traces via des outils dédiés, puis sur l'exécution de scans antivirus externes pour vérifier les composants restants.
D'autres échanges évoquent l'installation Linux comme option pour éviter les spywares et la possibilité d'un dual-boot avec un disque dédié, tout en restant vigilant sur les risques de contamination croisée entre systèmes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut,

    aurora c'est pas bon enfin on va tenter:
    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijackthis
    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    fais un copier coller du log entier ici.

    aide en image:(Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    A+

    Jean
    0
  2. yanshee Messages postés 17 Statut Membre
     
    Salut,

    tout d'abord merci pour ta réponse !
    Alors, j'ai suivi tes indications, et voici le log de hijackthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 17:07:03, on 23/08/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    D:\Norton Internet Security\NISUM.EXE
    C:\WINDOWS\system32\spoolsv.exe
    D:\Norton Internet Security\ccPxySvc.exe
    D:\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\zhomomy.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\psecure.exe
    C:\Program Files\Media Access\MediaAccK.exe
    C:\Program Files\Media Access\MediaAccess.exe
    C:\Program Files\ISTsvc\istsvc.exe
    C:\WINDOWS\qplmja.exe
    C:\Program Files\Internet Optimizer\optimize.exe
    C:\WINDOWS\seeve.exe
    C:\Program Files\SurfAccuracy\SAcc.exe
    C:\WINDOWS\System32\oco8ingr.exe
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
    C:\Program Files\Windows Media Player\wmplayer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\BullsEye Network\bin\bargains.exe
    C:\totalcmd\TOTALCMD.EXE
    D:\hijack\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
    O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
    O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [Provan Security] psecure.exe
    O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
    O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
    O4 - HKLM\..\Run: [NJfEce] C:\WINDOWS\qplmja.exe
    O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
    O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
    O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
    O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
    O4 - HKLM\..\Run: [oco8ingr] C:\WINDOWS\System32\oco8ingr.exe
    O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
    O4 - HKLM\..\Run: [masojab] C:\WINDOWS\System32\zhomomy.exe r
    O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
    O4 - HKLM\..\RunServices: [Provan Security] psecure.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
    O15 - Trusted Zone: *.media-motor.net
    O15 - Trusted Zone: *.popuppers.com
    O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Norton Internet Security\ccPxySvc.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Norton Internet Security\NISUM.EXE
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

    Lorsque tu dis qu'Aurora c'est pas bon, qu'entends-tu par là? que le disque est possiblement condamné ?!

    Encore merci pour ton attention... :)
    0
  3. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    re

    c'est que c'est dur à virer (parfois selon le type).

    alors suis bien cette manip et ne rate pas d'etape.

    ► imprime ceci pour ne rien oublier et tous faire
    tous faire dans l ordre imperativement
    -------------------------
    ► tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

    --
    ♪ CleanUp40.exe(3)

    voir demo
    http://pageperso.aol.fr/balltrap34/democleanup.htm
    --
    telecharge ceci
    http://www.downloads.subratam.org/l2mfix.exe

    mais ne fais rien de plus.

    ---------
    Telecharge: Pocket Killbox ici
    http://www.downloads.subratam.org/KillBox.exe

    les diverses facons d utiliser la killbox
    demo http://pageperso.aol.fr/balltrap34/killbox.htm
    regarde la methode avec boc note on va l'utiliser.

    ----------------
    ► desactive ta restauration systeme

    pour ça tu fais clic droit sur poste de travail
    propriété tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique
    ------------

    ► assure toi de ceci

    Affiche tous les fichiers et dossiers :
    cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer
    ----------------------
    ► vide tes fichiers temps et tempory internet file sur tous les utilisateur

    utilise ceci pour le faire
    http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

    --------------------
    ► relance hijack coche ces lignes et ensuite clik sur fix

    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

    O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll

    O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll

    O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll

    O4 - HKLM\..\Run: [Provan Security] psecure.exe

    O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

    O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe

    O4 - HKLM\..\Run: [NJfEce] C:\WINDOWS\qplmja.exe

    O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

    O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe

    O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe

    O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

    O4 - HKLM\..\Run: [oco8ingr] C:\WINDOWS\System32\oco8ingr.exe

    O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe

    O4 - HKLM\..\Run: [masojab] C:\WINDOWS\System32\zhomomy.exe r

    O4 - HKLM\..\RunServices: [Provan Security] psecure.exe

    O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll

    O15 - Trusted Zone: *.media-motor.net

    O15 - Trusted Zone: *.popuppers.com

    O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

    ----------------------
    clik sur Démarrer->exécuter->tape: services.msc

    Double-clique: System Startup Service (SvcProc)

    Règle-le sur "Arrêté" et "Désactivé".

    -------------------------
    ► utilise la kill box methode bloc note (voir demo)
    Kill Box :

    (ici) http://www.florensac-chasse-trap.com/ section virus

    demo http://pageperso.aol.fr/balltrap34/killbox.htm

    et met ceci
    C:\WINDOWS\svcproc.exe
    C:\WINDOWS\nem220.dll
    C:\WINDOWS\System32\msbe.dll
    C:\Program Files\YourSiteBar\ysb.dll
    psecure.exe
    C:\Program Files\Media Access\MediaAccK.exe
    C:\Program Files\ISTsvc\istsvc.exe
    C:\WINDOWS\qplmja.exe
    C:\Program Files\Internet Optimizer\optimize.exe"
    C:\Program Files\BullsEye Network\bin\bargains.exe
    C:\WINDOWS\seeve.exe
    C:\Program Files\SurfAccuracy\SAcc.exe
    C:\WINDOWS\System32\oco8ingr.exe
    C:\Program Files\Power Scan\powerscan.exe
    C:\WINDOWS\System32\zhomomy.exe r
    psecure.exe
    C:\Program Files\SideFind\sidefind.dll

    -----------------
    Supprime les dossiers:
    C:\Program Files\SideFind
    C:\Program Files\Power Scan
    C:\Program Files\Internet Optimizer
    C:\Program Files\BullsEye Network
    C:\Program Files\YourSiteBar
    C:\Program Files\Media Access
    C:\Program Files\ISTsvc

    ------------------
    Lance L2mfix

    decompresse le double clik sur l2mfix.bat appuie sur n importe quelle touche et ensuite choisi l option 2
    (à la fin le prog devrait redemarrer ton system.

    refait un log et prions.

    Jean
    0
  4. yanshee Messages postés 17 Statut Membre
     
    Re,

    Alors, j'ai suivi toutes tes instructions, mais cela n'a rien changé... :-(

    J'en déduis que je peux dire bye bye à mon DD. Alors, j'ai encore une ou deux questions:
    1/ Mon Bios est-il infecté? Je veux dire par là, puis-je mettre un autre DD à la place de celui-là sans crainte qu'il ne se fasse infecter immédiatement après installation d'XP?

    2/Puis-je utiliser mon DD vérolé sur un Linux sans craintes ?

    merci, pour ton aide déjà, et merci d'avance pour la réponse a mes questions...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    attend, n'en deduit pas trop vite des conclusions.

    refait un log hijack pour voir l'evolution. tu pourras regarder le post de eric sur nail, environ 200 posts mais on l'a eu...
    0
  7. yanshee Messages postés 17 Statut Membre
     
    Salut,

    voici le dernier log de hijack:

    Logfile of HijackThis v1.99.1
    Scan saved at 20:17:15, on 24/08/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    D:\Norton Internet Security\NISUM.EXE
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    D:\Norton Internet Security\ccPxySvc.exe
    D:\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\Explorer.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
    C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
    C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\System32\kjtzopq.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\PROGRA~1\ICQLite\ICQLite.exe
    C:\totalcmd\TOTALCMD.EXE
    D:\hijack\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
    O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
    O4 - HKLM\..\Run: [LXBLKsk] C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
    O4 - HKLM\..\Run: [MemoryCardManager] C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
    O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
    O4 - HKLM\..\Run: [ishfoks] C:\WINDOWS\System32\kjtzopq.exe r
    O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
    O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Norton Internet Security\ccPxySvc.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Norton Internet Security\NISUM.EXE
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe

    Je suis assez découragé je dois dire, et je compte passer une vieille bécane sous Linux, c'est pour ça que je me disais que ce serait sans doute un gain de temps de mettre le disque dans le Linux(si cela ne pose pas de problèmes) et de mettre un nouveau disque dans le XP.
    Y a vraiment urgence, c'est pour cela que je pensais que ce serait la meilleure solution peut-être, mais bon essayons encore un peu de l'avoir, en tous cas merci pour ton aide et tes conseils !
    0
  8. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    et bin voilà,

    il s'est declaré la sale bestiole.

    alors je t'expàlique. Au delà de la difficulté de le tuer, il est accompagné d'un exe aleatoire dont le nom change à qhaque demarrage.

    il faut donc que tu apprennes à le reconnaitre acr on va lancer l2mfix au debut et après reboot risque de changement de nom.

    pour le reconnaitre dans ton log hijack, assez simple, tu le trouveras en O4 avec une forme actuelle:
    O4 - HKLM\..\Run: [ishfoks] C:\WINDOWS\System32\kjtzopq.exe r

    donc entre les crochets 6 ou 7 lettres sans signifation et l'exe idem souvent suivi de la lettre r. repere le dans hijack, tu le fixera à la place de celui de ce moment que je t'indique et note le chemin, c'est à dire:

    C:\WINDOWS\System32\kjtzopq.exe r (avec son nouveau nom)
    afin de pouvoir le virer après.

    t'inquiète pas, evident et peu de risque d'erreur.

    ALLONS Y

    essaie çà

    Télécharger Nailfix d'ici et met le sur ton bureau
    http://www.noidea.us/easyfile/file.php?download=20050515010747824
    decompresse le ne l utilise pas encore

    clik sur l2mfix.bat appuie sur n importe quelle touche et ensuite choisi l option 2
    ---------

    APRES REBOOT

    ► desactive ta restauration systeme

    pour ça tu fais clic droit sur poste de travail
    propriété tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique
    ------------

    ► assure toi de ceci

    Affiche tous les fichiers et dossiers :
    cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer
    ----------------------
    ► vide tes fichiers temps et tempory internet file sur tous les utilisateur

    utilise ceci pour le faire
    http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

    --------------------
    ► relance hijack coche ces lignes et ensuite clik sur fix

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

    O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

    O4 - HKLM\..\Run: [ishfoks] C:\WINDOWS\System32\kjtzopq.exe r

    O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe

    ----------------------
    clik sur Démarrer->exécuter->tape: services.msc

    Double-clique: System Startup Service

    Règle-le sur "Arrêté" et "Désactivé".

    -------------------------
    ► lance killbox
    copie dans le bloc note
    C:\WINDOWS\Nail.exe
    C:\Program Files\Media Access\MediaAccK.exe
    C:\WINDOWS\System32\kjtzopq.exe r
    c:\windows\SvcProc.exe

    -----------------

    après redemarrage, supprime
    C:\Program Files\Media Access << le dossier
    ----------------

    ► repasse l2mfix option 2

    -----------
    ► passe nail fix

    redemarre et refait un hijack

    t'inquiète pas si çà marche pas y a encore des trucs à faire.
    0
  9. yanshee Messages postés 17 Statut Membre
     
    J'ai suivi toutes tes instructions, et voici le dernier log de hijack:

    Logfile of HijackThis v1.99.1
    Scan saved at 21:38:14, on 24/08/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    D:\Norton Internet Security\NISUM.EXE
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\Explorer.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
    C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
    C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe
    C:\Program Files\ICQLite\ICQLite.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\System32\tqqqbo.exe
    D:\Norton Internet Security\ccPxySvc.exe
    D:\Norton AntiVirus\navapsvc.exe
    C:\totalcmd\TOTALCMD.EXE
    D:\hijack\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
    O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
    O4 - HKLM\..\Run: [LXBLKsk] C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
    O4 - HKLM\..\Run: [MemoryCardManager] C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
    O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [lueyvho] C:\WINDOWS\System32\tqqqbo.exe r
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
    O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Norton Internet Security\ccPxySvc.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Norton Internet Security\NISUM.EXE
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

    2 petites remarques:
    - lorsque je lance cleanup, il me demande de me delogger et de me relogger pour que les changements prennent effet, comme tu n'avais rien préciser, je ne me suis pas deloggé me disant que je devais sans doute continuer la procédure puisque l'on redémarre plus loin. Je ne sais pas si j'ai bien fait...

    - l2mfix m'a affiché des erreurs après le reboot (dans la fenêtre turquoise, lorsqu'il scanne...), genre zip error, Error, Cannot find a process with an image name of rundll32.exe, etc... Peut-être est-ce normal, mais je voulais juste te le signaler au cas où cela ne le serait pas...
    0
  10. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    Merci Moe,

    faut vraiment que je fille cas de divorce.

    j'ai remis le post d'eric et je me suis gourré poour coller, je voulais faire

    UNE CORRECTION/

    Avec le bloc-notes, ouvre le fichier : C: \WINDOWS\system32\drivers\etc\hosts
    IL NE DEVRAIT CONTENIR QUE
    127.0.0.1 localhost

    si tel n'est pas le cas

    Dans la fenêtre, fais Edition > Sélectionner tout puis appuie sur la touche suppr
    Ensuite tape ceci sur la première ligne : "127.0.0.1 localhost" (sans les guillemets)
    Puis fais "Fichier" > "Enregistrer" et enfin redémarre.

    Le fichier hosts ne doit plus contenir que :
    127.0.0.1 localhost

    ensuite voir le truc avec la reparation de windows
    la suppression des cles invalides
    et nettoyage de nail et aleatoire.

    on sait jamais.

    Merci pour la suite je reprends demain (si toujours en vie).

    Lol

    bonne soirée à tous les 2
    0
  11. Utilisateur anonyme
     
    lol

    à demain (si toujours en vie).

    a+
    0
  12. yanshee Messages postés 17 Statut Membre
     
    Salut,

    alors voilà j'ai utilisé findit, mais il m'a affiché des messages d'alerte avec une histoire de windows 16-bit et que le logiciel ne pouvait pas fonctionner. Néanmoins, après avoir cliquer de multiples fois sur ignore, le scan a fini par se lancer, et en voici le résultat, seulement je ne sais pas à quel point ces messages d'alerte ont pu altérer le résultat du scan...

    Microsoft Windows XP [Version 5.1.2600]
    The current date is: jeu. 25/08/2005
    PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
    »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    Dont delete file's in the section without guidance
    If any doubt back them up first

    »»»»» lagitamate file's can/will show in this section.

    »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

    Volume in drive C is System
    Volume Serial Number is 5474-ADDB

    Directory of C:\WINDOWS\SYSTEM32

    »»»»» Checking for SAHAgent ico files.
    Volume in drive C is System
    Volume Serial Number is 5474-ADDB

    Directory of C:\WINDOWS\system32

    22/10/2001 03:10 4.398 SBLive.ico
    1 File(s) 4.398 bytes
    0 Dir(s) 7.045.169.152 bytes free

    »»»»»»»»»»»»»»»»»»»»»»»».

    HKEY_CURRENT_USER\Software\aurora\AUI3d5OfSInst
    HKEY_CURRENT_USER\Software\aurora\AUC3n5trMsgSDisp
    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky1S
    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky2S
    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky3S
    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky4S
    HKEY_CURRENT_USER\Software\aurora\AUC1o3d5eOfSFinalAd
    HKEY_CURRENT_USER\Software\aurora\AUT3i5m7eOfSFinalAd
    HKEY_CURRENT_USER\Software\aurora\AUD3s5tSSEnd
    HKEY_CURRENT_USER\Software\aurora\AU3N5a7tionSCode
    HKEY_CURRENT_USER\Software\aurora\AUP3D5om
    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSCheckSIn
    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSMots
    HKEY_CURRENT_USER\Software\aurora\AUM3o5deSSync
    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSCab
    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSEx
    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSLstest
    HKEY_CURRENT_USER\Software\aurora\AUB3D5om
    HKEY_CURRENT_USER\Software\aurora\AUE3v5nt
    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSBath
    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSysSInf
    HKEY_CURRENT_USER\Software\aurora\AUL3n5Title
    HKEY_CURRENT_USER\Software\aurora\AUC3u5rrentSMode
    HKEY_CURRENT_USER\Software\aurora\AUC3n5tFyl
    HKEY_CURRENT_USER\Software\aurora\AUI3g5noreS
    HKEY_CURRENT_USER\Software\aurora\AUS3t5atusOfSInst
    HKEY_CURRENT_USER\Software\aurora\AUL3a5stSSChckin
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon\Driver
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon\Driver

    Concernant le fichier C: \WINDOWS\system32\drivers\etc\hosts, il ne contenait que la ligne 127.0.0.1 localhost, ainsi que des lignes de commentaires qui expliquaient le fonctionnement du fichier. J'ai supprimer les lignes de commentaires, je ne penses pas que cela changera grand-chose, mais bon, puisque Jean dit qu'il ne doit rester que la ligne 127..., je n'ai donc laissé que cette ligne.

    Je vous remercie énormément tous les deux pour votre aide et votre patience avec moi !
    0
  13. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    Re ,

    là on voit bien ou sont les cles liées à aurora (nail).

    cependant, ne connaissant pas ce logiciel, je laisserais le soin à moe de le decripter avant de te preconiser d'autres manip, on est en train de le cerner...
    A+

    ( ce soir je pense).
    0
  14. Utilisateur anonyme
     
    salut

    les clés du registre sont normallement virées par nailfix, en fait je recherchais plutot la présence de fichiers.

    tu peux quand meme essayer de virer ces 3 clés manuellement:

    HKEY_CURRENT_USER\Software\aurora
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon

    a+
    0
  15. yanshee Messages postés 17 Statut Membre
     
    Re,

    alors voilà, j'ai viré manuellement(en utilisant regedit) les clés, seulement il y en a une que je n'ai pas trouvée, c'est la deuxième:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon

    j'ai fait une recherche dans le registre sur Zepmon, mais il n'a rien trouvé...

    En attendant, voici le dernier log de hijack:
    Logfile of HijackThis v1.99.1
    Scan saved at 11:05:20, on 26/08/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    D:\Norton Internet Security\NISUM.EXE
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
    C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
    C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe
    C:\Program Files\ICQLite\ICQLite.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\System32\uqphzo.exe
    D:\Norton Internet Security\ccPxySvc.exe
    D:\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\totalcmd\TOTALCMD.EXE
    D:\hijack\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
    O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
    O4 - HKLM\..\Run: [LXBLKsk] C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
    O4 - HKLM\..\Run: [MemoryCardManager] C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
    O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [pxlphi] C:\WINDOWS\System32\uqphzo.exe r
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
    O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Norton Internet Security\ccPxySvc.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Norton Internet Security\NISUM.EXE
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

    On voit qu'il est toujours là:
    O4 - HKLM\..\Run: [pxlphi] C:\WINDOWS\System32\uqphzo.exe r

    Lorsque je regardes dans ma liste de logiciels installés dans le control panel, il affiche encore ceux-ci:
    -PowerScan
    -Select Cashback
    -Surf Accuracy
    -ABI Networks

    voilà, c'est tous les renseignements que je peux vous fournir pour le moment, j'attends la suite de vos instructions... ;-)

    PS: encore merci, je sais que c'est la 200e fois que je le dis, mais bon...
    0
  16. Utilisateur anonyme
     
    salut

    reposte un hijack et ne redemarre pas ton pc

    a+
    0
  17. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut a tous
    moe fait lui virer definitivement son service via un reg cela ont serat plus sur

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "svcproc.exe"=-

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Startup Service]
    "start"=dword:00000004

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Startup Service]
    "start"=-

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
    "start"=dword:00000004

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
    "start"=-

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Startup Service]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\System Startup Service]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\System Startup Service]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\System Startup Service]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc]
    0
  18. yanshee Messages postés 17 Statut Membre
     
    ok, le dernier log:

    Logfile of HijackThis v1.99.1
    Scan saved at 17:32:37, on 26/08/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    D:\Norton Internet Security\NISUM.EXE
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
    C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
    C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe
    C:\Program Files\ICQLite\ICQLite.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\System32\uqphzo.exe
    D:\Norton Internet Security\ccPxySvc.exe
    D:\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\totalcmd\TOTALCMD.EXE
    D:\hijack\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
    O4 - HKLM\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNOTIFY.EXE
    O4 - HKLM\..\Run: [LXBLKsk] C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
    O4 - HKLM\..\Run: [MemoryCardManager] C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
    O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [pxlphi] C:\WINDOWS\System32\uqphzo.exe r
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
    O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Norton Internet Security\ccPxySvc.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Norton Internet Security\NISUM.EXE
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

    PS: j'ai fait un scan avec Norton, et il m'a trouvé psecure.exe qu'il m'a enlevé selon lui...
    0
  19. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    ouvre le bloc note et copie colle ceci entre les etoiles (pas les etoiles)

    *******
    REGEDIT4

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "svcproc.exe"=-

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Startup Service]
    "start"=dword:00000004

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Startup Service]
    "start"=-

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
    "start"=dword:00000004

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
    "start"=-

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System Startup Service]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\System Startup Service]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\System Startup Service]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\System Startup Service]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc]

    *******
    enregistre le sur ton bureau et nomme le yan.reg
    et dans type met sur tous fichier

    double clik sur se fichier et accepte la fusion
    et refait un hijack ne redemarre pas
    0
  • 1
  • 2
  • 3