supprimer w32 toxbot AL

Question

bjr j'ai été infecté par toxbot je ne sais pas comment m'en débarasser  g déja tenté avec les infos que vous donniez a d'autres qui avaient le même prob mais d'après ce que j'ai cru comprendre chez chacun le prob est différent  dv voila mon scan merci d'avance pour votre aideLogfile of HijackThis v1.99.1Scan saved at 17:22:03, on 18/10/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\Program Files\Canon\MultiPASS4\MPTBox.exeC:\PROGRAM FILES\RealPlay.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\6e0q7ug3.exeC:\Program Files\Messenger\msmsgs.exeC:\WINDOWS\System32\msnmsgs.exeC:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeC:\Program Files\Canon\MultiPASS4\MPSERVIC.EXEC:\WINDOWS\System32
bthlp.exeC:\WINDOWS\system32
etdde.exeC:\WINDOWS\system32\pnpsp2fix.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Canon\MultiPASS4\MPDBMgr.exeC:\Program Files\180searchassistant\salm.exeC:\Program Files\Internet Optimizer\optimize.exeC:\Program Files\Media Gateway\MediaGateway.exeC:\Program Files\Windows ControlAd\WinCtlAd.exeC:\Program Files\Windows ControlAd\WinCtlAdAlt.exeC:\Documents and Settings\cindy\Bureau\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sitesearchcentral.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.sitesearchcentral.com/sp2.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sitesearchcentral.com/sp2.phpR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS
em220.dllO2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [MPTBox] C:\Program Files\Canon\MultiPASS4\MPTBox.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [RealTray] C:\PROGRAM FILES\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [Windows Microsoft Messenger] msnmsgs.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"O4 - HKLM\..\Run: [6e0q7ug3] C:\WINDOWS\System32\6e0q7ug3.exeO4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exeO4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exeO4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"O4 - HKLM\..\Run: [haryh] C:\WINDOWS\haryh.exeO4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exeO4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exeO4 - HKLM\..\RunServices: [Windows Microsoft Messenger] msnmsgs.exeO4 - HKCU\..\Run: [Windows Microsoft Messenger] msnmsgs.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cabO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: MpService - Canon Inc. - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXEO23 - Service: NetBIOS Helper Service (NetBIOS Helper) - Unknown owner - C:\WINDOWS\System32
bthlp.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Unknown owner - C:\WINDOWS\system32\pnpsp2fix.exe

Utilisateur anonyme · Answer

saluttu es bcp infecte----------------------------------------------------------------------------Télécharge ceci: (merci a S!RI pour ce petit programme).http://siri.urz.free.fr/Fix/SmitfraudFix.zipExécute le, choisit l’option 1, il va générer un rapportCopie/colle le sur le poste stp.a+

Utilisateur anonyme · Answer

salutapparement ton pc est salement infecté, et pas que par toxbot.telecharge ce fix pour toxbot:http://securityresponse.symantec.com/avcenter/FixToxbot.exeet enregistre le sur ton bureauPuis: Désactive la restauration systéme.Clic droit sur poste de travail > propriétés > onglet restauration système puis cocher "désactiver la restauration système".clic sur ok pour valider  Redémarre en mode sans échec Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.  Choisis le mode sans échec dans les options et valide avec entrée.double clic sur FixToxbot.exeredemarre le pc et repase une seconde fois FixToxbot.exe.et reposte un hijackthisa+

Utilisateur anonyme · Answer

oupsdsl quentin, j'avais pas vu ton posta+++

Utilisateur anonyme · Answer

Pas grave moe,Prends le ce poste... dis moi le fixe de sirie detecte  ceci?C:\WINDOWS\system32
etdde.exe ?Prends la suite Oliviera+

Utilisateur anonyme · Answer

non, normalement netdde.exe est clean dans system32.lol, t'es vraiment rapide pour répondre, aussi rapide que balltrap ;-)a++

Utilisateur anonyme · Answer

lol,je crois que je vais plus vite maintenant lolJe suis jeune et en pleine forme je te rappelles lola+ olivierAllez Lyon !!

Utilisateur anonyme · Answer

je vois, je voisdis tout de suite que je suis un vieux snock lol !!!a++

Utilisateur anonyme · Answer

Je ne me permettrais pas...Dans 30min je m absentes, et je passerais surrement en coup de vent ce soir donc si tu as le temps de suivre mes postesa+

Utilisateur anonyme · Answer

ok, j'essayerais de les suivre

Utilisateur anonyme · Answer

Ok, maintenant, avant de te donner la manip pour le reste, fais analyser ce fichier ici:http://www.virustotal.com/xhtml/virustotal_en.htmlC:\WINDOWS\system32\pnpsp2fix.execlic sur parcourir, selectionne le fichier à analyser, valide et clic sur sendposte le rapporta+

cindy · Answer

voila c fait g la page avec le rapport devant moi mais jarrive pas a le copier!

Utilisateur anonyme · Answer

qu'est ce qu'il y a marqué ?

cindy · Answer

This is a report processed by VirusTotal on 10/19/2005 at 19:22:03 (CET) after scanning the file "pnpsp2fix.exe_" file.Antivirus Version Update Result AntiVir 6.32.0.6 10.19.2005 PCK/MEW Avast 4.6.695.0 10.19.2005 no virus found AVG 718 10.18.2005 IRC/BackDoor.SdBot.NBS Avira 6.32.0.6 10.19.2005 PCK/MEW BitDefender 7.2 10.19.2005 Backdoor.SDBot.042E80D0 CAT-QuickHeal 8.00 10.19.2005 Backdoor.SdBot.aad ClamAV devel-20050917 10.18.2005 no virus found DrWeb 4.32b 10.19.2005 no virus found eTrust-Iris 7.1.194.0 10.18.2005 MS03-026_Exploit!Trojan eTrust-Vet 11.9.1.0 10.19.2005 no virus found Fortinet 2.48.0.0 10.19.2005 W32/SDBot.AAD-bdr F-Prot 3.16c 10.19.2005 no virus found Ikarus 0.2.59.0 10.19.2005 Backdoor.Win32.Rbot.Gen Kaspersky 4.0.2.24 10.19.2005 Backdoor.Win32.SdBot.aad McAfee 4608 10.19.2005 no virus found NOD32v2 1.1261 10.19.2005 a variant of IRC/SdBot Norman 5.70.10 10.19.2005 W32/SDBot.TNW Panda 8.02.00 10.19.2005 Bck/Sdbot.FDO Sophos 3.98.0 10.19.2005 W32/Tilebot-Gen Symantec 8.0 10.18.2005 no virus found TheHacker 5.8.4.126 10.19.2005 Backdoor/SdBot.aad VBA32 3.10.4 10.18.2005 Backdoor.Win32.SdBot.aad VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.g fini par trouver!!

Utilisateur anonyme · Answer

il est infecté.je te met la manip d'ici quelques minutes, mais tu vas avoir un sacré nettoyage à faire.à tout de suite

Utilisateur anonyme · Answer

Salut Télécharge lqfix ici: http://users.telenet.be/bluepatchy/miekiemoes/tools/LQfix.zip dezippe le sur ton bureau, mais ne l'utilise pas pour l'instant. Imprime, ou enregistre la manip dans un fichier txt (bloc notes) pour etre sur ne rien oublier et de tout faire dans l'ordre. Déconnecte toi d'internet et ferme tout les programmes en cours. Pour ne pas se retrouver avec des points de restauration systeme infectés il vaut mieux la désactiver: Désactive la restauration systéme. Clic droit sur poste de travail > propriétés > onglet restauration système puis cocher "désactiver la restauration système". clic sur ok pour valider Redémarre en mode sans échec Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows. Choisis le mode sans échec dans les options et valide avec entrée. Rend visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher la case devant " afficher les fichiers et dossiers cachés " Décocher la case devant " masquer les extentions des fichiers dont le type est connu" Décocher la case devant " masquer les fichiers protégés du système" clic sur [Appliquer] puis sur [ok] pour valider -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Ouvre le gestionnaire des taches (ctrl+alt+suppr) et arrete ce processus s'il est actif (clic droit dessus et clic sur terminer) pnpsp2fix.exe ensuite: Dans le menu Demarrer>Executer >tape: Services.msc recherche le service avec cette orthographe exacte: Plug-n-Play SP2 Fix Double clic dessus et clic sur [arreter] puis dans : type de demarrage --> sélectionne désactivé. -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Dans le dossier lqfix double clic sur le fichier lqfix.bat -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Lance hijackthis et clic sur [do a system scan only] cocher la case au début des lignes suivantes: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sitesearchcentral.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.sitesearchcentral.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sitesearchcentral.com/sp2.php R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS em220.dll O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll O4 - HKLM\..\Run: [Windows Microsoft Messenger] msnmsgs.exe O4 - HKLM\..\Run: [6e0q7ug3] C:\WINDOWS\System32\6e0q7ug3.exe O4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exe O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [haryh] C:\WINDOWS\haryh.exe O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKLM\..\RunServices: [Windows Microsoft Messenger] msnmsgs.exe O4 - HKCU\..\Run: [Windows Microsoft Messenger] msnmsgs.exe O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab valider en cliquant sur le bouton [fix checked] -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Recherche et supprime ces fichiers ou dossiers: Dans le cas ou tu utiliserais la fonction Rechercher: Assure toi que dans: Tous les fichiers et tous les dossiers >> Options avancées • Rechercher dans les dossiers systemes <- DOIT ETRE COCHE ! • Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE ! • Rechercher dans les sous-dossiers <- DOIT ETRE COCHE ! Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher" S'ils sont présents, supprime: C:\Program Files\Internet Optimizer C:\Program Files\Media Gateway C:\Program Files\Internet Optimizer C:\WINDOWS\haryh.exe C:\WINDOWS em220.dll C:\WINDOWS\System32\6e0q7ug3.exe C:\WINDOWS\System32\msnmsgs.exe C:\WINDOWS\system32\pnpsp2fix.exe -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Ensuite, tres important: :: Supprimer les fichiers temporaires :: vider tout le contenu des dossiers Temp: * C:\Documents and Settings on compte\Local Settings\Temp * C:\Documents and Settings ous les autres comptes\Local Settings\Temp * C:\Temp * C:\Windows\Temp :: Le contenu du dossier prefetch :: * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini Vide le cache de tous tes navigateurs et supprime les cookies: Pour Internet Explorer: * Panneau de configuration >> Options internet >> Onglet "Général" - Clic sur [supprimer les cookies] - Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion" Valide avec ok * Ne pas oublier de vider la corbeille ! -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_ Redemarre normalement, et ensuite fais un scan AV ici: http://webscanner.kaspersky.fr/ apres le chargement du control active X, clic sur suivant puis clic sur configuration et choisis "étendue" Choisis l'analyse répertoire et choisis ton ou tes disques durs A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers. a+

cindy · Answer

jvien de voir les infos mon ordi bloquait normal !il est tard mais je vais tenter de suivre les étapes si jamais est ce kil serai encor possible de me fournir ton aide ultérieurement jpense me reconnecté demain après 16h si jamais avant just encor une petite question comment je fais pour deziper?encore merci

Utilisateur anonyme · Answer

renormalement je suis là à partir de 18hpour dezipper, tu fais clic droit sur le fichier > extraire toutbonne fin de soirée et à demain

Utilisateur anonyme · Answer

lol, tu poste aussi sur abcdelasecurite ?Pourquoi tu n'a pas suivis les conseils de Rodolphe, il te donnais la manip à faire ?C'est pas très cool...a+

cindy · Answer

salutoui efectivement j'ai posté mon prob sur abc de la sécurité mais je n'avais pas eu de rep et vu mon peu d'expérience je n'était pas au courant des pratiques donc je m'excuse ce ke g également fais auprès de rodolphe donc si tu veu bien continuer a m'aider ce srai vraiment sympat!j'ai suivi tes conseils et je suis arriver a l'étape hijacktis mais quelques lignes ni figuraient pas je ne sais pas si ca a une quelconque importance ms g tout de meme poursuivi pour supprimer les fichiers je ne savais pas comment faire autrement que de passer par la fonction rechercher ms....une tonne de fichiers ont été trouvé mais je ne sais pas comment faire pour retrouver ceux que tu m'avais demandéd'ailleur étant donné ke g arreté a cet étapes dois je reprendre a 0 ou la ou je métait arrété?merci d'avance

Utilisateur anonyme · Answer

pas grave ;-)on va tout reprendre à zéro, et j'essayerais de détailler un peu plus.Reposte un hijackthis.a+

cindy · Answer

Logfile of HijackThis v1.99.1Scan saved at 19:27:15, on 15/10/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Canon\MultiPASS4\MPTBox.exeC:\Program Files\Canon\MultiPASS4\MPSERVIC.EXEC:\PROGRAM FILES\RealPlay.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXEC:\WINDOWS\System32\qxmsy.exeC:\Program Files\ISTsvc\istsvc.exeC:\WINDOWS\bqsutl.exeC:\WINDOWS\system32
etdde.exeC:\Program Files\SurfAccuracy\SAcc.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktop.exeC:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Canon\MultiPASS4\MPDBMgr.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktopOE.exeC:\Documents and Settings\cindy\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [MPTBox] C:\Program Files\Canon\MultiPASS4\MPTBox.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [RealTray] C:\PROGRAM FILES\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"O4 - HKLM\..\Run: [Windows Security Service] qxmsy.exeO4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exeO4 - HKLM\..\Run: [nJOBy] C:\WINDOWS\bqsutl.exeO4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exeO4 - HKLM\..\RunServices: [Windows Security Service] qxmsy.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [Windows Security Service] qxmsy.exeO4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startupO4 - HKCU\..\RunServices: [Windows Security Service] qxmsy.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.htmlO8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.htmlO9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO15 - Trusted Zone: http://ny.contentmatch.net (HKLM)O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: MpService - Canon Inc. - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXEO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Windows Updates - Unknown owner - C:\WINDOWS\windowsupdates.exedésolé jsui vraiment  pas doué!

Utilisateur anonyme · Answer

salutca s'emplifie de plus en plus.est ce que tu avais fais un peu de la manip, est ce que tu avais reussis à supprimer quelques fichier ?

cindy · Answer

mais jme suis arreté com di plus haut mais des fichiers il y en avait telement (plus de 1000)et je ne savais pas comment trouver les bons!!donc non

cindy · Answer

effectivement c de pire en pire jarrive quasi plus a me connecté
sincèrement est ce que c encor vraiment possible de faire qqchose(en tout cas avec mon super niveau en informatique) ou vaut mieu carément formaté lordi?

Utilisateur anonyme · Answer

ok
Pour les fichiers temporaires tu utilisera ce programme: cleanup
Il s'occupera de nettoyer tout ca.
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
regarde ceci pour te familiariser:
http://pageperso.aol.fr/balltrap34/democleanup.htm
Mais ne l'utilise pas pour l'instant

Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
Windows Updates <- rien a voir avec le vrai
Double clic dessus et clic sur [arreter] puis dans :
type de demarrage --> sélectionne désactivé.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll
O4 - HKLM\..\Run: [Windows Security Service] qxmsy.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [nJOBy] C:\WINDOWS\bqsutl.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\RunServices: [Windows Security Service] qxmsy.exe
O4 - HKCU\..\Run: [Windows Security Service] qxmsy.exe
O4 - HKCU\..\RunServices: [Windows Security Service] qxmsy.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

valider en cliquant sur le bouton [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Recherche et supprime ces fichiers ou dossiers:

Dans le cas ou tu utiliserais la fonction Rechercher:
Assure toi que dans:
Tous les fichiers et tous les dossiers >> Options avancées
• Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
• Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
• Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !

Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

tu fais:
demarrer > clic sur poste de travail > clic sur l'icone de ton disque dur (HDD C:)
A partir de là, tu peux aller supprimer les fichiers en suivant leur chemin.

supprime:

C:\WINDOWS\bqsutl.exe
C:\WINDOWS\windowsupdates.exe
C:\WINDOWS\System32\qxmsy.exe
C:\Program Files\ISTsvc
C:\Program Files\SideFind
C:\Program Files\SurfAccuracy

Lance cleanup et laisse le redemarrer le pc quand il te le demandera

Ensuite, fais un scan ici:
http://www.bitdefender.fr
et poste le rapport

a+

cindy · Answer

jvai fair ca mais encor un souci c rajouté mes paramètres perso ne sont plus affiché(enfin un truc comme ca) cest à dire word exel....ainsi kE hyjackthis ms je le trouve pas sur le net !aurai tu un raccourci?

cindy · Answer

je retir ma kestion c ok g trouvé

Utilisateur anonyme · Answer

tu le trouveras ici:http://www.merijn.org/files/hijackthis.zip

cindy · Answer

je l'avait trouvé mais meme quand je télécharge qqchose c plus dispo en mode sans échec si autrement d'ailleur come di tanto ya plus ni word ni aucun fichiers ke j'ai téléchargé com hijackthis!!!!!!!!!!jen peu plus

cindy · Answer

g suivi toute les étapes ke tu m'a donné ca doit être ok sauf ke g pas trouvé
windows/bqsutl.exe
windows/system32/ qxmsy
pour les supprimer mais pour les otre c ok
quant a clean up il ma pas demandé de redémarrer(enfin je croi pas jcomprend pas trop l'anglais)donc g ralumé lordi moi même
le scan quant a lui est en route mais je crois que ca va prendre du temps je te l'envoi dès que c fini
a +

cindy · Answer

forcément encore une merde pendant le scan lordi c eteind g recommencé lopération mais plus moyen ca ne marche plus!et la je fais koi?

Utilisateur anonyme · Answer

reposte un hijack pour voira+

Utilisateur anonyme · Answer

salut cindy

T'excuse pas, c'est pas grave.
n'oublie pas, si ton pc va etre reformaté, d'installer un firewall et un antivirus avant ta premiere connection au net.
Ensuite, fais tes mises à jours sur windowsupdate.
Ca devrait t'éviter quelques soucis.

a++

Utilisateur anonyme · Answer

Je vous salue maitre MOE31Avec toute ma gratitude, merci d etre revenu ;-)

Supprimer w32 toxbot AL

34 réponses

Votre réponse

Discussions similaires

Newsletters