Formater mon PC/clavier non actif
Lux
-
andrew -
andrew -
Coucou a vous,
j'ai un gros pb :(
cohabitant avec mes amis les virus, aujourd'hui je ne peux plus lancer aucun exctutable ou programme ( internet explorer, mozilla, photoshop etc...)
Je voudrai donc faire le menage ( formater puis reinstaller XP)
MAIS : voila, mon clavier ( branché en USB) n'est pas actif avant le demarage de windows. J'ai beau appuyer sur les touches pour lancer le CD XP ca marche pas.
En plus mon port PS2 est mort, je peux donc pas le brancher en PS2
:((
Comment faire !
mon clavier est pourtant actif sous le BIOS.
j'ai un gros pb :(
cohabitant avec mes amis les virus, aujourd'hui je ne peux plus lancer aucun exctutable ou programme ( internet explorer, mozilla, photoshop etc...)
Je voudrai donc faire le menage ( formater puis reinstaller XP)
MAIS : voila, mon clavier ( branché en USB) n'est pas actif avant le demarage de windows. J'ai beau appuyer sur les touches pour lancer le CD XP ca marche pas.
En plus mon port PS2 est mort, je peux donc pas le brancher en PS2
:((
Comment faire !
mon clavier est pourtant actif sous le BIOS.
A voir également:
- Formater mon PC/clavier non actif
- Télécharger clavier arabe - Télécharger - Divers Web & Internet
- Formater son pc - Guide
- Mon pc est lent - Guide
- Formater clé usb - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
41 réponses
salut
Apparement ton pc est infecté par le sponsor de messenger plus et quelques autres saletés
telecharge lopxp ici:
http://get.yourfile.net/ir75611.zip
dezippe le et lance lopxp.bat
le bloc notes va s'ouvrir, copie et colle le resultat ici
a+
Apparement ton pc est infecté par le sponsor de messenger plus et quelques autres saletés
telecharge lopxp ici:
http://get.yourfile.net/ir75611.zip
dezippe le et lance lopxp.bat
le bloc notes va s'ouvrir, copie et colle le resultat ici
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut stael
ca va ?
RUNDLL32.exe est un fichier sain
http://www.commentcamarche.net/processus/rundll32-exe.php3
a++
ca va ?
RUNDLL32.exe est un fichier sain
http://www.commentcamarche.net/processus/rundll32-exe.php3
a++
ca va a part que ad aware viens de me trouver un trojan qu'il ne peut pas supprimer et que a2 ma trouver 2 malware win32...
cree un nouveau message pour pas confondre avec celui de lux et poste un hijack.
Dis nous aussi quels fichiers sont trouvés par ad aware et a²
a+
Dis nous aussi quels fichiers sont trouvés par ad aware et a²
a+
Merci, je telecharge zone alarme....
et voici le resultat :
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est F4CD-9BD4
R‚pertoire de C:\Documents and Settings\All Users.WINDOWS\Application Data
02/09/2005 19:46 <REP> Symantec
29/08/2005 19:46 <REP> Messenger Plus!
29/08/2005 19:46 <REP> ..
29/08/2005 19:46 <REP> .
27/08/2005 22:57 <REP> Spybot - Search & Destroy
27/08/2005 21:38 <REP> surf debug bird okay
27/08/2005 17:09 <REP> avg7
27/08/2005 15:54 <REP> Grisoft
25/08/2005 21:39 <REP> Macrovision
12/07/2005 22:24 <REP> Adobe
05/07/2005 15:29 <REP> Microsoft
02/07/2005 22:56 <REP> QuickTime
01/07/2005 22:37 <REP> Apple Computer
01/07/2005 11:36 62 desktop.ini
1 fichier(s) 62 octets
13 R‚p(s) 3ÿ560ÿ865ÿ792 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est F4CD-9BD4
R‚pertoire de C:\Documents and Settings\Terranova\Application Data
02/09/2005 19:24 <REP> AVG7
02/09/2005 16:33 <REP> Microsoft
01/09/2005 02:55 <REP> Azureus
27/08/2005 21:48 <REP> Registry Cleaner
27/08/2005 21:45 <REP> ..
27/08/2005 21:45 <REP> .
27/08/2005 21:38 <REP> thirdobj
27/08/2005 21:38 <REP> Style Inside Creative
27/08/2005 20:41 <REP> Mozilla
27/08/2005 20:41 <REP> Talkback
27/08/2005 14:54 <REP> .bt2
27/08/2005 13:43 2ÿ059ÿ955 Install.dat
27/08/2005 13:30 <REP> Symantec
26/08/2005 22:21 <REP> Visicom Media
25/08/2005 21:39 <REP> Macromedia
22/07/2005 14:38 <REP> Sun
12/07/2005 23:33 <REP> Adobe
12/07/2005 22:27 <REP> AdobeUM
12/07/2005 16:05 <REP> Help
06/07/2005 11:12 <REP> Canon
01/07/2005 23:31 <REP> Lavasoft
01/07/2005 22:38 <REP> Apple Computer
01/07/2005 11:36 62 desktop.ini
01/07/2005 11:08 <REP> Identities
2 fichier(s) 2ÿ060ÿ017 octets
22 R‚p(s) 3ÿ560ÿ865ÿ792 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est F4CD-9BD4
R‚pertoire de C:\WINDOWS\Tasks
02/09/2005 21:00 272 AC1D9D5891121968.job
02/09/2005 19:54 <REP> ..
02/09/2005 19:54 <REP> .
02/09/2005 19:52 6 SA.DAT
28/08/2001 14:00 65 desktop.ini
3 fichier(s) 343 octets
2 R‚p(s) 3ÿ560ÿ865ÿ792 octets libres
C:\Program Files\C2Media Présent !
Recherche fichiers créés le
!!! Attention, les fichiers qui suivent ne sont pas tous infectés !!!
et voici le resultat :
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est F4CD-9BD4
R‚pertoire de C:\Documents and Settings\All Users.WINDOWS\Application Data
02/09/2005 19:46 <REP> Symantec
29/08/2005 19:46 <REP> Messenger Plus!
29/08/2005 19:46 <REP> ..
29/08/2005 19:46 <REP> .
27/08/2005 22:57 <REP> Spybot - Search & Destroy
27/08/2005 21:38 <REP> surf debug bird okay
27/08/2005 17:09 <REP> avg7
27/08/2005 15:54 <REP> Grisoft
25/08/2005 21:39 <REP> Macrovision
12/07/2005 22:24 <REP> Adobe
05/07/2005 15:29 <REP> Microsoft
02/07/2005 22:56 <REP> QuickTime
01/07/2005 22:37 <REP> Apple Computer
01/07/2005 11:36 62 desktop.ini
1 fichier(s) 62 octets
13 R‚p(s) 3ÿ560ÿ865ÿ792 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est F4CD-9BD4
R‚pertoire de C:\Documents and Settings\Terranova\Application Data
02/09/2005 19:24 <REP> AVG7
02/09/2005 16:33 <REP> Microsoft
01/09/2005 02:55 <REP> Azureus
27/08/2005 21:48 <REP> Registry Cleaner
27/08/2005 21:45 <REP> ..
27/08/2005 21:45 <REP> .
27/08/2005 21:38 <REP> thirdobj
27/08/2005 21:38 <REP> Style Inside Creative
27/08/2005 20:41 <REP> Mozilla
27/08/2005 20:41 <REP> Talkback
27/08/2005 14:54 <REP> .bt2
27/08/2005 13:43 2ÿ059ÿ955 Install.dat
27/08/2005 13:30 <REP> Symantec
26/08/2005 22:21 <REP> Visicom Media
25/08/2005 21:39 <REP> Macromedia
22/07/2005 14:38 <REP> Sun
12/07/2005 23:33 <REP> Adobe
12/07/2005 22:27 <REP> AdobeUM
12/07/2005 16:05 <REP> Help
06/07/2005 11:12 <REP> Canon
01/07/2005 23:31 <REP> Lavasoft
01/07/2005 22:38 <REP> Apple Computer
01/07/2005 11:36 62 desktop.ini
01/07/2005 11:08 <REP> Identities
2 fichier(s) 2ÿ060ÿ017 octets
22 R‚p(s) 3ÿ560ÿ865ÿ792 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est F4CD-9BD4
R‚pertoire de C:\WINDOWS\Tasks
02/09/2005 21:00 272 AC1D9D5891121968.job
02/09/2005 19:54 <REP> ..
02/09/2005 19:54 <REP> .
02/09/2005 19:52 6 SA.DAT
28/08/2001 14:00 65 desktop.ini
3 fichier(s) 343 octets
2 R‚p(s) 3ÿ560ÿ865ÿ792 octets libres
C:\Program Files\C2Media Présent !
Recherche fichiers créés le
!!! Attention, les fichiers qui suivent ne sont pas tous infectés !!!
Voila :
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est F4CD-9BD4
R‚pertoire de C:\Documents and Settings\All Users.WINDOWS\Application Data
02/09/2005 19:46 <REP> Symantec
29/08/2005 19:46 <REP> Messenger Plus!
29/08/2005 19:46 <REP> ..
29/08/2005 19:46 <REP> .
27/08/2005 22:57 <REP> Spybot - Search & Destroy
27/08/2005 21:38 <REP> surf debug bird okay
27/08/2005 17:09 <REP> avg7
27/08/2005 15:54 <REP> Grisoft
25/08/2005 21:39 <REP> Macrovision
12/07/2005 22:24 <REP> Adobe
05/07/2005 15:29 <REP> Microsoft
02/07/2005 22:56 <REP> QuickTime
01/07/2005 22:37 <REP> Apple Computer
01/07/2005 11:36 62 desktop.ini
1 fichier(s) 62 octets
13 R‚p(s) 3ÿ525ÿ742ÿ592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est F4CD-9BD4
R‚pertoire de C:\Documents and Settings\Terranova\Application Data
02/09/2005 19:24 <REP> AVG7
02/09/2005 16:33 <REP> Microsoft
01/09/2005 02:55 <REP> Azureus
27/08/2005 21:48 <REP> Registry Cleaner
27/08/2005 21:45 <REP> ..
27/08/2005 21:45 <REP> .
27/08/2005 21:38 <REP> thirdobj
27/08/2005 21:38 <REP> Style Inside Creative
27/08/2005 20:41 <REP> Mozilla
27/08/2005 20:41 <REP> Talkback
27/08/2005 14:54 <REP> .bt2
27/08/2005 13:43 2ÿ059ÿ955 Install.dat
27/08/2005 13:30 <REP> Symantec
26/08/2005 22:21 <REP> Visicom Media
25/08/2005 21:39 <REP> Macromedia
22/07/2005 14:38 <REP> Sun
12/07/2005 23:33 <REP> Adobe
12/07/2005 22:27 <REP> AdobeUM
12/07/2005 16:05 <REP> Help
06/07/2005 11:12 <REP> Canon
01/07/2005 23:31 <REP> Lavasoft
01/07/2005 22:38 <REP> Apple Computer
01/07/2005 11:36 62 desktop.ini
01/07/2005 11:08 <REP> Identities
2 fichier(s) 2ÿ060ÿ017 octets
22 R‚p(s) 3ÿ525ÿ742ÿ592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est F4CD-9BD4
R‚pertoire de C:\WINDOWS\Tasks
02/09/2005 21:37 6 SA.DAT
02/09/2005 21:00 272 AC1D9D5891121968.job
02/09/2005 19:54 <REP> ..
02/09/2005 19:54 <REP> .
28/08/2001 14:00 65 desktop.ini
3 fichier(s) 343 octets
2 R‚p(s) 3ÿ525ÿ742ÿ592 octets libres
C:\Program Files\C2Media Présent !
Recherche fichiers créés le
!!! Attention, les fichiers qui suivent ne sont pas tous infectés !!!
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est F4CD-9BD4
R‚pertoire de C:\Documents and Settings\All Users.WINDOWS\Application Data
02/09/2005 19:46 <REP> Symantec
29/08/2005 19:46 <REP> Messenger Plus!
29/08/2005 19:46 <REP> ..
29/08/2005 19:46 <REP> .
27/08/2005 22:57 <REP> Spybot - Search & Destroy
27/08/2005 21:38 <REP> surf debug bird okay
27/08/2005 17:09 <REP> avg7
27/08/2005 15:54 <REP> Grisoft
25/08/2005 21:39 <REP> Macrovision
12/07/2005 22:24 <REP> Adobe
05/07/2005 15:29 <REP> Microsoft
02/07/2005 22:56 <REP> QuickTime
01/07/2005 22:37 <REP> Apple Computer
01/07/2005 11:36 62 desktop.ini
1 fichier(s) 62 octets
13 R‚p(s) 3ÿ525ÿ742ÿ592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est F4CD-9BD4
R‚pertoire de C:\Documents and Settings\Terranova\Application Data
02/09/2005 19:24 <REP> AVG7
02/09/2005 16:33 <REP> Microsoft
01/09/2005 02:55 <REP> Azureus
27/08/2005 21:48 <REP> Registry Cleaner
27/08/2005 21:45 <REP> ..
27/08/2005 21:45 <REP> .
27/08/2005 21:38 <REP> thirdobj
27/08/2005 21:38 <REP> Style Inside Creative
27/08/2005 20:41 <REP> Mozilla
27/08/2005 20:41 <REP> Talkback
27/08/2005 14:54 <REP> .bt2
27/08/2005 13:43 2ÿ059ÿ955 Install.dat
27/08/2005 13:30 <REP> Symantec
26/08/2005 22:21 <REP> Visicom Media
25/08/2005 21:39 <REP> Macromedia
22/07/2005 14:38 <REP> Sun
12/07/2005 23:33 <REP> Adobe
12/07/2005 22:27 <REP> AdobeUM
12/07/2005 16:05 <REP> Help
06/07/2005 11:12 <REP> Canon
01/07/2005 23:31 <REP> Lavasoft
01/07/2005 22:38 <REP> Apple Computer
01/07/2005 11:36 62 desktop.ini
01/07/2005 11:08 <REP> Identities
2 fichier(s) 2ÿ060ÿ017 octets
22 R‚p(s) 3ÿ525ÿ742ÿ592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est F4CD-9BD4
R‚pertoire de C:\WINDOWS\Tasks
02/09/2005 21:37 6 SA.DAT
02/09/2005 21:00 272 AC1D9D5891121968.job
02/09/2005 19:54 <REP> ..
02/09/2005 19:54 <REP> .
28/08/2001 14:00 65 desktop.ini
3 fichier(s) 343 octets
2 R‚p(s) 3ÿ525ÿ742ÿ592 octets libres
C:\Program Files\C2Media Présent !
Recherche fichiers créés le
!!! Attention, les fichiers qui suivent ne sont pas tous infectés !!!
Imprime, ou enregistre la manip dans le bloc note pour etre sur ne rien oublier et de tout faire dans l'ordre
Déconnecte toi d'internet:
Ferme tout les programmes en cours
Vide le cache de tous tes navigateurs et supprime les cookies:
Pour Internet Explorer:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok
Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:
Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
clic sur ok pour valider
Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fhlygxrpjjhmdga.com/HTzw0gFsaZ08YR2lq62P914xeuUVT7EmkXho7ZgCFaz1DDH8Vk9Rpf2CtcAO8JLv.cgi
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: (no name) - {BCFB0559-83FA-318B-92BF-88B03349A02C} - C:\DOCUME~1\TERRAN~2\APPLIC~1\STYLEI~1\New Skip.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [msresearch] C:\WINDOWS\tool3.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Program Files\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Bird Okay Time Byte] C:\Documents and Settings\All Users.WINDOWS\Application Data\surf debug bird okay\Shim up.exe
O4 - HKCU\..\Run: [M02nROGnS] hnesut51.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [OnlineSect] C:\DOCUME~1\TERRAN~2\APPLIC~1\thirdobj\CHIC ROAM.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL (file missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL
valider en cliquant sur [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime:
hnesut51.exe
C:\WINDOWS\tool3.exe
C:\WINDOWS\System32\paytime.exe
C:\Program Files\SinEspias
C:\Program Files\SurfAccuracy
C:\Program Files\BT2Net
C:\Documents and Settings\All Users.WINDOWS\Application Data\surf debug bird okay
C:\Documents and Settings\Terranova\Application Data\thirdobj
C:\Documents and Settings\Terranova\Application Data\Style Inside Creative
C:\Program Files\C2Media
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
ensuite:
demarrer > executer et tape cmd
dans la fenetre dos, copie et colle:
del /a C:\WINDOWS\Tasks\AC1D9D5891121968.job
et valide
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, tres important:
:: Supprimer les fichiers temporaires ::
vider tout le contenu des dossiers Temp:
* C:\Documents and Settings\Terranova\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
* Ne pas oublier de vider la corbeille !
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redemarre normalement, et ensuite fais un scan AV ici:
http://webscanner.kaspersky.fr/
apres le chargement du control active X, clic sur suivant
puis clic sur configuration et choisis "étendue"
Choisis l'analyse répertoire et choisis ton ou tes disques durs
poste le rapport du scan + un nouvel hijackthis
Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.
a+
Déconnecte toi d'internet:
Ferme tout les programmes en cours
Vide le cache de tous tes navigateurs et supprime les cookies:
Pour Internet Explorer:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok
Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:
Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
clic sur ok pour valider
Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fhlygxrpjjhmdga.com/HTzw0gFsaZ08YR2lq62P914xeuUVT7EmkXho7ZgCFaz1DDH8Vk9Rpf2CtcAO8JLv.cgi
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: (no name) - {BCFB0559-83FA-318B-92BF-88B03349A02C} - C:\DOCUME~1\TERRAN~2\APPLIC~1\STYLEI~1\New Skip.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [msresearch] C:\WINDOWS\tool3.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Program Files\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Bird Okay Time Byte] C:\Documents and Settings\All Users.WINDOWS\Application Data\surf debug bird okay\Shim up.exe
O4 - HKCU\..\Run: [M02nROGnS] hnesut51.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [OnlineSect] C:\DOCUME~1\TERRAN~2\APPLIC~1\thirdobj\CHIC ROAM.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL (file missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL
valider en cliquant sur [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime:
hnesut51.exe
C:\WINDOWS\tool3.exe
C:\WINDOWS\System32\paytime.exe
C:\Program Files\SinEspias
C:\Program Files\SurfAccuracy
C:\Program Files\BT2Net
C:\Documents and Settings\All Users.WINDOWS\Application Data\surf debug bird okay
C:\Documents and Settings\Terranova\Application Data\thirdobj
C:\Documents and Settings\Terranova\Application Data\Style Inside Creative
C:\Program Files\C2Media
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
ensuite:
demarrer > executer et tape cmd
dans la fenetre dos, copie et colle:
del /a C:\WINDOWS\Tasks\AC1D9D5891121968.job
et valide
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, tres important:
:: Supprimer les fichiers temporaires ::
vider tout le contenu des dossiers Temp:
* C:\Documents and Settings\Terranova\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
* Ne pas oublier de vider la corbeille !
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redemarre normalement, et ensuite fais un scan AV ici:
http://webscanner.kaspersky.fr/
apres le chargement du control active X, clic sur suivant
puis clic sur configuration et choisis "étendue"
Choisis l'analyse répertoire et choisis ton ou tes disques durs
poste le rapport du scan + un nouvel hijackthis
Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.
a+
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, September 03, 2005 00:43:37
Operating System: Microsoft Windows XP Professional, (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 2/09/2005
Kaspersky Anti-Virus database records: 147509
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true
Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
Scan Statistics:
Total number of scanned objects: 109785
Number of viruses found: 10
Number of infected objects: 22
Number of suspicious objects: 0
Duration of the scan process: 5066 sec
Infected Object Name - Virus Name
C:\Documents and Settings\All Users.WINDOWS\Application Data\surf debug bird okay\Shim up.exe Infected: not-a-virus:AdWare.Lop.ad
C:\Documents and Settings\Anthony\Local Settings\Temporary Internet Files\Content.IE5\A521YJCT\dd[1].txt Infected: Trojan.Win32.Agent.cl
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\6H8765U1\ndl902[1].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[1].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[2].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[3].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[4].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[5].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[6].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[7].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[8].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Terranova\Application Data\Style Inside Creative\New Skip.exe Infected: Trojan-Downloader.Win32.Swizzor.bo
C:\Documents and Settings\Terranova\Application Data\thirdobj\CHIC ROAM.exe Infected: not-a-virus:AdWare.Lop.m
C:\Documents and Settings\Terranova\Bureau\backups\backup-20050902-225015-302.dll Infected: Trojan-Downloader.Win32.Swizzor.bo
C:\Documents and Settings\Terranova\Local Settings\Temp\bkktdida.exe Infected: not-a-virus:AdWare.Lop.m
C:\Documents and Settings\Terranova\Local Settings\Temp\roxkqdfx.exe Infected: not-a-virus:AdWare.Lop.m
C:\Documents and Settings\Terranova Family\Local Settings\Temporary Internet Files\Content.IE5\OPE34PI3\dd[2].txt Infected: Trojan.Win32.Agent.cl
C:\System Volume Information\_restore{D55D7548-EB52-4D10-94C7-6497FEA1800A}\RP52\A0030426.exe Infected: Trojan.Win32.Zapchast
C:\WINDOWS\hosts Infected: Trojan.Win32.Qhost.k
C:\WINDOWS\tool1.exe Infected: Trojan-Downloader.Win32.Agent.tl
F:\Starcraft\setup32.exe Infected: Trojan-DDoS.Win32.Boxed.s
F:\Starcraft\update32.exe Infected: Trojan-DDoS.Win32.Boxed.t
Scan process completed.
================================
Logfile of HijackThis v1.99.1
Scan saved at 00:45:26, on 03/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe
C:\DOCUME~1\TERRAN~2\LOCALS~1\Temp\~e5d141.tmp
C:\DOCUME~1\TERRAN~2\LOCALS~1\Temp\~e5d141.tmp
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Terranova\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://jvotqtfiyiahdlcfcmzvvbcuj.uk/HTzw0gFsaZ08YR2lq62P914xeuUVT7EmkXho7ZgCFaxRPYeN2LBYuv2CtcAO8JLv.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [M02nROGnS] hnesut51.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [OnlineSect] C:\DOCUME~1\TERRAN~2\APPLIC~1\thirdobj\CHIC ROAM.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EDFFC57-E3F6-412A-8EB6-AD218604BD48}: NameServer = 80.10.246.1 80.10.246.132
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
=========
voila, je crois qu'il y a encore du travail !
KASPERSKY ON-LINE SCANNER REPORT
Saturday, September 03, 2005 00:43:37
Operating System: Microsoft Windows XP Professional, (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 2/09/2005
Kaspersky Anti-Virus database records: 147509
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true
Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
Scan Statistics:
Total number of scanned objects: 109785
Number of viruses found: 10
Number of infected objects: 22
Number of suspicious objects: 0
Duration of the scan process: 5066 sec
Infected Object Name - Virus Name
C:\Documents and Settings\All Users.WINDOWS\Application Data\surf debug bird okay\Shim up.exe Infected: not-a-virus:AdWare.Lop.ad
C:\Documents and Settings\Anthony\Local Settings\Temporary Internet Files\Content.IE5\A521YJCT\dd[1].txt Infected: Trojan.Win32.Agent.cl
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\6H8765U1\ndl902[1].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[1].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[2].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[3].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[4].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[5].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[6].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[7].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files\Content.IE5\IJI7MTMF\ndl902[8].enc Infected: Backdoor.Win32.Webdor.y
C:\Documents and Settings\Terranova\Application Data\Style Inside Creative\New Skip.exe Infected: Trojan-Downloader.Win32.Swizzor.bo
C:\Documents and Settings\Terranova\Application Data\thirdobj\CHIC ROAM.exe Infected: not-a-virus:AdWare.Lop.m
C:\Documents and Settings\Terranova\Bureau\backups\backup-20050902-225015-302.dll Infected: Trojan-Downloader.Win32.Swizzor.bo
C:\Documents and Settings\Terranova\Local Settings\Temp\bkktdida.exe Infected: not-a-virus:AdWare.Lop.m
C:\Documents and Settings\Terranova\Local Settings\Temp\roxkqdfx.exe Infected: not-a-virus:AdWare.Lop.m
C:\Documents and Settings\Terranova Family\Local Settings\Temporary Internet Files\Content.IE5\OPE34PI3\dd[2].txt Infected: Trojan.Win32.Agent.cl
C:\System Volume Information\_restore{D55D7548-EB52-4D10-94C7-6497FEA1800A}\RP52\A0030426.exe Infected: Trojan.Win32.Zapchast
C:\WINDOWS\hosts Infected: Trojan.Win32.Qhost.k
C:\WINDOWS\tool1.exe Infected: Trojan-Downloader.Win32.Agent.tl
F:\Starcraft\setup32.exe Infected: Trojan-DDoS.Win32.Boxed.s
F:\Starcraft\update32.exe Infected: Trojan-DDoS.Win32.Boxed.t
Scan process completed.
================================
Logfile of HijackThis v1.99.1
Scan saved at 00:45:26, on 03/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe
C:\DOCUME~1\TERRAN~2\LOCALS~1\Temp\~e5d141.tmp
C:\DOCUME~1\TERRAN~2\LOCALS~1\Temp\~e5d141.tmp
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Terranova\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://jvotqtfiyiahdlcfcmzvvbcuj.uk/HTzw0gFsaZ08YR2lq62P914xeuUVT7EmkXho7ZgCFaxRPYeN2LBYuv2CtcAO8JLv.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [M02nROGnS] hnesut51.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [OnlineSect] C:\DOCUME~1\TERRAN~2\APPLIC~1\thirdobj\CHIC ROAM.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EDFFC57-E3F6-412A-8EB6-AD218604BD48}: NameServer = 80.10.246.1 80.10.246.132
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
=========
voila, je crois qu'il y a encore du travail !
salut lux
en fait plusieurs comptes sont infectés.
Je vois que tu as spybot, si le tea timer est activé, désactive le, juste le temp de la manip pour ne pas qu'il empeche les modifs dans le registre.
lance spybot, dans le menu du haut, clic sur "mode" et choisis "mode avancé"
puis clic sur outils >> résident
Décoche la case résident "tea timer"
referme spybot
(n'oublie pas de le remettre après la manip)
Imprime, ou enregistre la manip dans le bloc note pour etre sur ne rien oublier et de tout faire dans l'ordre
Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:
Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
clic sur ok pour valider
Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://jvotqtfiyiahdlcfcmzvvbcuj.uk/HTzw0gFsaZ08YR2lq62P914xeuUVT7EmkXho7ZgCFaxRPYeN2LBYuv2CtcAO8JLv.html
O4 - HKCU\..\Run: [M02nROGnS] hnesut51.exe
O4 - HKCU\..\Run: [OnlineSect] C:\DOCUME~1\TERRAN~2\APPLIC~1\thirdobj\CHIC ROAM.exe
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
valider en cliquant sur [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime:
hnesut51.exe
C:\WINDOWS\hosts
C:\WINDOWS\tool1.exe
F:\Starcraft\setup32.exe
F:\Starcraft\update32.exe
C:\Documents and Settings\All Users.WINDOWS\Application Data\surf debug bird okay <-tout le dossier
C:\Documents and Settings\Terranova\Application Data\Style Inside Creative <-tout le dossier
C:\Documents and Settings\Terranova\Application Data\thirdobj <-tout le dossier
ensuite, supprime tout ce qui se trouve à l'intérieur des dossiers temp et Temporary Internet Files
C:\Documents and Settings\Terranova\Local Settings\Temp
C:\Documents and Settings\Anthony\Local Settings\Temporary Internet Files
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files
C:\Documents and Settings\Terranova Family\Local Settings\Temporary Internet Files
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
lance spybot, clic sur "outils"
clic sur "effaceur de securité"
clic sur modèles (en haut)
clic sur:
- ajouter les fichier du dossier temp
- ajouter les fichiers du cache d'internet explorer
clic sur déchiqueter
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
redemarre le pc et reposte un hijack
a+
en fait plusieurs comptes sont infectés.
Je vois que tu as spybot, si le tea timer est activé, désactive le, juste le temp de la manip pour ne pas qu'il empeche les modifs dans le registre.
lance spybot, dans le menu du haut, clic sur "mode" et choisis "mode avancé"
puis clic sur outils >> résident
Décoche la case résident "tea timer"
referme spybot
(n'oublie pas de le remettre après la manip)
Imprime, ou enregistre la manip dans le bloc note pour etre sur ne rien oublier et de tout faire dans l'ordre
Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:
Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
clic sur ok pour valider
Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://jvotqtfiyiahdlcfcmzvvbcuj.uk/HTzw0gFsaZ08YR2lq62P914xeuUVT7EmkXho7ZgCFaxRPYeN2LBYuv2CtcAO8JLv.html
O4 - HKCU\..\Run: [M02nROGnS] hnesut51.exe
O4 - HKCU\..\Run: [OnlineSect] C:\DOCUME~1\TERRAN~2\APPLIC~1\thirdobj\CHIC ROAM.exe
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
valider en cliquant sur [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime:
hnesut51.exe
C:\WINDOWS\hosts
C:\WINDOWS\tool1.exe
F:\Starcraft\setup32.exe
F:\Starcraft\update32.exe
C:\Documents and Settings\All Users.WINDOWS\Application Data\surf debug bird okay <-tout le dossier
C:\Documents and Settings\Terranova\Application Data\Style Inside Creative <-tout le dossier
C:\Documents and Settings\Terranova\Application Data\thirdobj <-tout le dossier
ensuite, supprime tout ce qui se trouve à l'intérieur des dossiers temp et Temporary Internet Files
C:\Documents and Settings\Terranova\Local Settings\Temp
C:\Documents and Settings\Anthony\Local Settings\Temporary Internet Files
C:\Documents and Settings\Marmotte\Local Settings\Temporary Internet Files
C:\Documents and Settings\Terranova Family\Local Settings\Temporary Internet Files
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
lance spybot, clic sur "outils"
clic sur "effaceur de securité"
clic sur modèles (en haut)
clic sur:
- ajouter les fichier du dossier temp
- ajouter les fichiers du cache d'internet explorer
clic sur déchiqueter
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
redemarre le pc et reposte un hijack
a+
salut moe,
je n'ai pas abouti par les infos que tu m'as donée hier. Par contre une chose m'étonne : lorsque j'ouvre le fichier Excel dont le contenu s'est évaporé et qu'ensuite je tape le nom d'une personne qui se trouvait dans ce fichier (je répète, il s'agissait d'un fichier d'adresses) , le résultat de la recherche affiche : emplacement non disponible http://fr.msnusers.com/
cela ne cacherait il pas une histoire de mouchard ou d'espion ?
merci par avance de tes conseils et à bientot.
amicalement
je n'ai pas abouti par les infos que tu m'as donée hier. Par contre une chose m'étonne : lorsque j'ouvre le fichier Excel dont le contenu s'est évaporé et qu'ensuite je tape le nom d'une personne qui se trouvait dans ce fichier (je répète, il s'agissait d'un fichier d'adresses) , le résultat de la recherche affiche : emplacement non disponible http://fr.msnusers.com/
cela ne cacherait il pas une histoire de mouchard ou d'espion ?
merci par avance de tes conseils et à bientot.
amicalement
salut
essaye de reinstaller le logiciel TextBridge
puis de le mettre à jour, pour voir
tu n'as pas fais de sauvegarde de ton fichier excel ?
a+
essaye de reinstaller le logiciel TextBridge
puis de le mettre à jour, pour voir
tu n'as pas fais de sauvegarde de ton fichier excel ?
a+
encore moi,
1° / comment procéder pour réinstaller Textbridge ?
2° / non je n'ai pas fait de sauvegarde
3° / je viens par ailleurs de lancer "spybot" et l'analyse me donne l'info suivante que je ne suis pas en mesure de traduire : "Windows security center.antivirus Disable notify "
peux tu me dire si tu as une idée de ce que ça veut dire ?
merci
1° / comment procéder pour réinstaller Textbridge ?
2° / non je n'ai pas fait de sauvegarde
3° / je viens par ailleurs de lancer "spybot" et l'analyse me donne l'info suivante que je ne suis pas en mesure de traduire : "Windows security center.antivirus Disable notify "
peux tu me dire si tu as une idée de ce que ça veut dire ?
merci
salut andrew
on va vérifier une chose, car apres avoir relu ton premier post, je pense pas que reinstaller textbridge soit la solution:
ouvre le fichier excel en question
Dans le menu du haut, clic sur "fichier"
puis sur "enregistrer sous"
dans la boite de dialogue qui apparait, fais ceci:
dans le champ "Nom du fichier" choisis un nom (ce que tu veux)
dans le champ "Type du fichier" choisis "Texte unicode (*.txt)"
clic sur enregistrer
Dans le meme dossier que ton fichier excel initial, ouvre le fichier txt que tu viens d'enregistrer
dis moi si les données sont visibles (noms, adresse...etc).
pour spybot, il te previent que dans;
panneau de configuration ; centre de securité
sur la gauche " modifier la facon dont le centre de securité me previent"
une ou plusieures cases ont étées decochées
rien de méchant
a+
on va vérifier une chose, car apres avoir relu ton premier post, je pense pas que reinstaller textbridge soit la solution:
ouvre le fichier excel en question
Dans le menu du haut, clic sur "fichier"
puis sur "enregistrer sous"
dans la boite de dialogue qui apparait, fais ceci:
dans le champ "Nom du fichier" choisis un nom (ce que tu veux)
dans le champ "Type du fichier" choisis "Texte unicode (*.txt)"
clic sur enregistrer
Dans le meme dossier que ton fichier excel initial, ouvre le fichier txt que tu viens d'enregistrer
dis moi si les données sont visibles (noms, adresse...etc).
pour spybot, il te previent que dans;
panneau de configuration ; centre de securité
sur la gauche " modifier la facon dont le centre de securité me previent"
une ou plusieures cases ont étées decochées
rien de méchant
a+
