Supprimer w32 toxbot AL

cindy -  
 Utilisateur anonyme -
bjr j'ai été infecté par toxbot je ne sais pas comment m'en débarasser g déja tenté avec les infos que vous donniez a d'autres qui avaient le même prob mais d'après ce que j'ai cru comprendre chez chacun le prob est différent dv voila mon scan merci d'avance pour votre aide

Logfile of HijackThis v1.99.1
Scan saved at 17:22:03, on 18/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Canon\MultiPASS4\MPTBox.exe
C:\PROGRAM FILES\RealPlay.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\6e0q7ug3.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\msnmsgs.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\System32\nbthlp.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\pnpsp2fix.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Canon\MultiPASS4\MPDBMgr.exe
C:\Program Files\180searchassistant\salm.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
C:\Documents and Settings\cindy\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sitesearchcentral.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.sitesearchcentral.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sitesearchcentral.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MPTBox] C:\Program Files\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\PROGRAM FILES\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Windows Microsoft Messenger] msnmsgs.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [6e0q7ug3] C:\WINDOWS\System32\6e0q7ug3.exe
O4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exe
O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [haryh] C:\WINDOWS\haryh.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\RunServices: [Windows Microsoft Messenger] msnmsgs.exe
O4 - HKCU\..\Run: [Windows Microsoft Messenger] msnmsgs.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: MpService - Canon Inc. - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: NetBIOS Helper Service (NetBIOS Helper) - Unknown owner - C:\WINDOWS\System32\nbthlp.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Unknown owner - C:\WINDOWS\system32\pnpsp2fix.exe

34 réponses

  • 1
  • 2
Résumé de la discussion

Une infection par toxbot sur Windows XP est décrite avec une liste de processus et de composants malveillants visibles via HijackThis, indiquant une compromission du navigateur et du système. Des étapes successives sont proposées: désactiver la restauration système, démarrer en mode sans échec, lancer HijackThis et LQfix, supprimer les fichiers et clés malveillants, puis nettoyer les fichiers temporaires et le cache. Pour sa part, l’utilisation d’un scan antivirus en ligne et la suppression de programmes indésirables tels que des outils de recherche installés sans consentement sont recommandées pour prévenir les réinfections. Certaines instructions insistent sur la sauvegarde des données et la vérification des services et fichiers suspects, afin d’éviter des résidus persistants même après redémarrage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    salut
    tu es bcp infecte

    ----------------------------------------------------------------------------
    Télécharge ceci: (merci a S!RI pour ce petit programme).
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, choisit l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.

    a+
    0
    1. CINDY
       
      Jsuis vraiment pas doué g téléchargé ce ke tu ma dit mais comment je fais pour l'éxécuter
      0
  2. Utilisateur anonyme
     
    salut

    apparement ton pc est salement infecté, et pas que par toxbot.

    telecharge ce fix pour toxbot:
    http://securityresponse.symantec.com/avcenter/FixToxbot.exe
    et enregistre le sur ton bureau

    Puis:

    Désactive la restauration systéme.
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".
    clic sur ok pour valider

    Redémarre en mode sans échec
    Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    double clic sur FixToxbot.exe
    redemarre le pc et repase une seconde fois FixToxbot.exe.
    et reposte un hijackthis

    a+
    0
  3. Utilisateur anonyme
     
    oups

    dsl quentin, j'avais pas vu ton post

    a+++
    0
  4. Utilisateur anonyme
     
    Pas grave moe,

    Prends le ce poste... dis moi le fixe de sirie detecte ceci?C:\WINDOWS\system32\netdde.exe ?

    Prends la suite Olivier

    a+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    non, normalement netdde.exe est clean dans system32.
    lol, t'es vraiment rapide pour répondre, aussi rapide que balltrap ;-)

    a++
    0
  7. Utilisateur anonyme
     
    lol,
    je crois que je vais plus vite maintenant lol
    Je suis jeune et en pleine forme je te rappelles lol

    a+ olivier

    Allez Lyon !!
    0
  8. Utilisateur anonyme
     
    je vois, je vois
    dis tout de suite que je suis un vieux snock lol !!!

    a++
    0
  9. Utilisateur anonyme
     
    Je ne me permettrais pas...
    Dans 30min je m absentes, et je passerais surrement en coup de vent ce soir donc si tu as le temps de suivre mes postes

    a+
    0
  10. Utilisateur anonyme
     
    ok, j'essayerais de les suivre
    0
    1. cindy
       
      g suivi t conseil voila le scan!!!!!

      Logfile of HijackThis v1.99.1
      Scan saved at 18:25:55, on 17/10/2005
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\Program Files\Canon\MultiPASS4\MPTBox.exe
      C:\PROGRAM FILES\RealPlay.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\WINDOWS\System32\6e0q7ug3.exe
      C:\program files\180searchassistant\salm.exe
      C:\Program Files\Internet Optimizer\optimize.exe
      C:\WINDOWS\haryh.exe
      C:\Program Files\Media Gateway\MediaGateway.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\WINDOWS\System32\msnmsgs.exe
      C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
      C:\WINDOWS\system32\netdde.exe
      C:\WINDOWS\system32\pnpsp2fix.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Documents and Settings\cindy\Bureau\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sitesearchcentral.com/sp2.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.sitesearchcentral.com/sp2.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sitesearchcentral.com/sp2.php
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
      O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
      O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [MPTBox] C:\Program Files\Canon\MultiPASS4\MPTBox.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
      O4 - HKLM\..\Run: [RealTray] C:\PROGRAM FILES\RealPlay.exe SYSTEMBOOTHIDEPLAYER
      O4 - HKLM\..\Run: [Windows Microsoft Messenger] msnmsgs.exe
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
      O4 - HKLM\..\Run: [6e0q7ug3] C:\WINDOWS\System32\6e0q7ug3.exe
      O4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exe
      O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe
      O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
      O4 - HKLM\..\Run: [haryh] C:\WINDOWS\haryh.exe
      O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
      O4 - HKLM\..\RunServices: [Windows Microsoft Messenger] msnmsgs.exe
      O4 - HKCU\..\Run: [Windows Microsoft Messenger] msnmsgs.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
      O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
      O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      O23 - Service: MpService - Canon Inc. - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
      O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Unknown owner - C:\WINDOWS\system32\pnpsp2fix.exe
      0
  11. cindy
     
    voila c fait g la page avec le rapport devant moi mais jarrive pas a le copier!
    0
  12. Utilisateur anonyme
     
    qu'est ce qu'il y a marqué ?
    0
  13. cindy
     
    This is a report processed by VirusTotal on 10/19/2005 at 19:22:03 (CET) after scanning the file "pnpsp2fix.exe_" file.
    Antivirus Version Update Result
    AntiVir 6.32.0.6 10.19.2005 PCK/MEW
    Avast 4.6.695.0 10.19.2005 no virus found
    AVG 718 10.18.2005 IRC/BackDoor.SdBot.NBS
    Avira 6.32.0.6 10.19.2005 PCK/MEW
    BitDefender 7.2 10.19.2005 Backdoor.SDBot.042E80D0
    CAT-QuickHeal 8.00 10.19.2005 Backdoor.SdBot.aad
    ClamAV devel-20050917 10.18.2005 no virus found
    DrWeb 4.32b 10.19.2005 no virus found
    eTrust-Iris 7.1.194.0 10.18.2005 MS03-026_Exploit!Trojan
    eTrust-Vet 11.9.1.0 10.19.2005 no virus found
    Fortinet 2.48.0.0 10.19.2005 W32/SDBot.AAD-bdr
    F-Prot 3.16c 10.19.2005 no virus found
    Ikarus 0.2.59.0 10.19.2005 Backdoor.Win32.Rbot.Gen
    Kaspersky 4.0.2.24 10.19.2005 Backdoor.Win32.SdBot.aad
    McAfee 4608 10.19.2005 no virus found
    NOD32v2 1.1261 10.19.2005 a variant of IRC/SdBot
    Norman 5.70.10 10.19.2005 W32/SDBot.TNW
    Panda 8.02.00 10.19.2005 Bck/Sdbot.FDO
    Sophos 3.98.0 10.19.2005 W32/Tilebot-Gen
    Symantec 8.0 10.18.2005 no virus found
    TheHacker 5.8.4.126 10.19.2005 Backdoor/SdBot.aad
    VBA32 3.10.4 10.18.2005 Backdoor.Win32.SdBot.aad

    VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.

    g fini par trouver!!
    0
  14. Utilisateur anonyme
     
    il est infecté.

    je te met la manip d'ici quelques minutes, mais tu vas avoir un sacré nettoyage à faire.

    à tout de suite
    0
  15. Utilisateur anonyme
     
    Salut

    Télécharge lqfix ici:
    http://users.telenet.be/bluepatchy/miekiemoes/tools/LQfix.zip
    dezippe le sur ton bureau, mais ne l'utilise pas pour l'instant.

    Imprime, ou enregistre la manip dans un fichier txt (bloc notes) pour etre sur ne rien oublier et de tout faire dans l'ordre.

    Déconnecte toi d'internet et ferme tout les programmes en cours.

    Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver:

    Désactive la restauration systéme.
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".
    clic sur ok pour valider

    Redémarre en mode sans échec
    Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ouvre le gestionnaire des taches (ctrl+alt+suppr) et arrete ce processus s'il est actif (clic droit dessus et clic sur terminer)
    pnpsp2fix.exe

    ensuite:
    Dans le menu Demarrer>Executer >tape: Services.msc
    recherche le service avec cette orthographe exacte:
    Plug-n-Play SP2 Fix
    Double clic dessus et clic sur [arreter] puis dans :
    type de demarrage --> sélectionne désactivé.

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Dans le dossier lqfix double clic sur le fichier lqfix.bat

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis et clic sur [do a system scan only]
    cocher la case au début des lignes suivantes:

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sitesearchcentral.com/sp2.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.sitesearchcentral.com/sp2.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sitesearchcentral.com/sp2.php
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

    O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
    O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
    O4 - HKLM\..\Run: [Windows Microsoft Messenger] msnmsgs.exe
    O4 - HKLM\..\Run: [6e0q7ug3] C:\WINDOWS\System32\6e0q7ug3.exe
    O4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exe
    O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe
    O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
    O4 - HKLM\..\Run: [haryh] C:\WINDOWS\haryh.exe
    O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
    O4 - HKLM\..\RunServices: [Windows Microsoft Messenger] msnmsgs.exe
    O4 - HKCU\..\Run: [Windows Microsoft Messenger] msnmsgs.exe
    O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

    valider en cliquant sur le bouton [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Recherche et supprime ces fichiers ou dossiers:

    Dans le cas ou tu utiliserais la fonction Rechercher:
    Assure toi que dans:
    Tous les fichiers et tous les dossiers >> Options avancées
    • Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
    • Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
    • Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !

    Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

    S'ils sont présents, supprime:

    C:\Program Files\Internet Optimizer
    C:\Program Files\Media Gateway
    C:\Program Files\Internet Optimizer
    C:\WINDOWS\haryh.exe
    C:\WINDOWS\nem220.dll
    C:\WINDOWS\System32\6e0q7ug3.exe
    C:\WINDOWS\System32\msnmsgs.exe
    C:\WINDOWS\system32\pnpsp2fix.exe

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite, tres important:

    :: Supprimer les fichiers temporaires ::

    vider tout le contenu des dossiers Temp:

    * C:\Documents and Settings\ton compte\Local Settings\Temp
    * C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
    * C:\Temp
    * C:\Windows\Temp

    :: Le contenu du dossier prefetch ::

    * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

    Vide le cache de tous tes navigateurs et supprime les cookies:

    Pour Internet Explorer:
    * Panneau de configuration >> Options internet >> Onglet "Général"
    - Clic sur [supprimer les cookies]
    - Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
    Valide avec ok

    * Ne pas oublier de vider la corbeille !

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Redemarre normalement, et ensuite fais un scan AV ici:
    http://webscanner.kaspersky.fr/
    apres le chargement du control active X, clic sur suivant
    puis clic sur configuration et choisis "étendue"
    Choisis l'analyse répertoire et choisis ton ou tes disques durs
    A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis

    Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.

    a+
    0
  16. cindy
     
    jvien de voir les infos mon ordi bloquait normal !
    il est tard mais je vais tenter de suivre les étapes si jamais est ce kil serai encor possible de me fournir ton aide ultérieurement
    jpense me reconnecté demain après 16h si jamais
    avant just encor une petite question comment je fais pour deziper?
    encore merci
    0
  17. Utilisateur anonyme
     
    re

    normalement je suis là à partir de 18h
    pour dezipper, tu fais clic droit sur le fichier > extraire tout

    bonne fin de soirée et à demain
    0
  18. Utilisateur anonyme
     
    lol, tu poste aussi sur abcdelasecurite ?
    Pourquoi tu n'a pas suivis les conseils de Rodolphe, il te donnais la manip à faire ?
    C'est pas très cool...

    a+
    0
  19. cindy
     
    salut
    oui efectivement j'ai posté mon prob sur abc de la sécurité mais je n'avais pas eu de rep et vu mon peu d'expérience je n'était pas au courant des pratiques donc je m'excuse ce ke g également fais auprès de rodolphe
    donc si tu veu bien continuer a m'aider ce srai vraiment sympat!

    j'ai suivi tes conseils et je suis arriver a l'étape hijacktis mais quelques lignes ni figuraient pas je ne sais pas si ca a une quelconque importance ms g tout de meme poursuivi

    pour supprimer les fichiers je ne savais pas comment faire autrement que de passer par la fonction rechercher
    ms....
    une tonne de fichiers ont été trouvé mais je ne sais pas comment faire pour retrouver ceux que tu m'avais demandé

    d'ailleur étant donné ke g arreté a cet étapes dois je reprendre a 0 ou la ou je métait arrété?

    merci d'avance
    0
  20. Utilisateur anonyme
     
    pas grave ;-)

    on va tout reprendre à zéro, et j'essayerais de détailler un peu plus.
    Reposte un hijackthis.

    a+
    0
  • 1
  • 2