A voir également:
- Help, New Malware.u
- Outlook new c'est quoi - Accueil - Mail
- New outlook - Accueil - Mail
- Supprimer new tab ✓ - Forum Virus
- New cpu installed ftpm/psp nv corrupted - Forum Carte-mère/mémoire
- Supprimer NEW TAB dans Google Chrome. ✓ - Forum Virus
3 réponses
Utilisateur anonyme
22 oct. 2005 à 14:46
22 oct. 2005 à 14:46
salut DreamT
télécharge HijackThis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (merci à balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
Télécharge lopxp ici:
http://cjoint.com/?kumvZSxxY4
2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici
Bon courage
A+
télécharge HijackThis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (merci à balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
Télécharge lopxp ici:
http://cjoint.com/?kumvZSxxY4
2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici
Bon courage
A+
Utilisateur anonyme
22 oct. 2005 à 15:16
22 oct. 2005 à 15:16
Bonjour,
Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.
1/Telecharge ceci: Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm
Déconnecte toi d'Internet et ferme tout les programmes en cours.
Redémarre en mode sans échec
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essai F5)
Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.uluxnzuutkauugbgwyyovyegj.com/Q/neI7XYsNelspGRLc8IS66oTYTUxR7hfXH/LVWfgnAGihMMxDoDreIAUm5DUZMQ.html
O2 - BHO: (no name) - {3621B1C3-2B18-D1CB-EAE6-7B5207CDDBF3} - C:\DOCUME~1\Jessi\APPLIC~1\ShowBlue\find ball.exe
O4 - HKLM\..\Run: [1 DATA AMOK FORK] C:\Documents and Settings\All Users\Application Data\deaf more 1 data\drivecurb.exe
O20 - Winlogon Notify: LBTServ - C:\WINDOWS\
valider en cliquant sur le bouton [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime ces dossiers:
Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"
S'ils sont présents, supprime:
C:\Documents and Settings\All Users\Application Data\deaf more 1 data
C:\Documents and Settings\Jessi\Application Data\ShowBlue
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite fais Démarrer > exécuter et tape cmd
puis valide avec ok
dans la fenêtre qui va s'ouvrir, copie et colle ceci:
del /a C:\WINDOWS\tasks\2B6EEBAC8015F47C.job
et valide en appuyant sur entrée
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, très important:
:: Supprimer les fichiers temporaires ::
Exécute cleanup40.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redémarre normalement et reposte un Hijackthis sur le poste…
Précises moi ou en sont tes soucis…
A+
Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.
1/Telecharge ceci: Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm
Déconnecte toi d'Internet et ferme tout les programmes en cours.
Redémarre en mode sans échec
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essai F5)
Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.uluxnzuutkauugbgwyyovyegj.com/Q/neI7XYsNelspGRLc8IS66oTYTUxR7hfXH/LVWfgnAGihMMxDoDreIAUm5DUZMQ.html
O2 - BHO: (no name) - {3621B1C3-2B18-D1CB-EAE6-7B5207CDDBF3} - C:\DOCUME~1\Jessi\APPLIC~1\ShowBlue\find ball.exe
O4 - HKLM\..\Run: [1 DATA AMOK FORK] C:\Documents and Settings\All Users\Application Data\deaf more 1 data\drivecurb.exe
O20 - Winlogon Notify: LBTServ - C:\WINDOWS\
valider en cliquant sur le bouton [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime ces dossiers:
Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"
S'ils sont présents, supprime:
C:\Documents and Settings\All Users\Application Data\deaf more 1 data
C:\Documents and Settings\Jessi\Application Data\ShowBlue
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite fais Démarrer > exécuter et tape cmd
puis valide avec ok
dans la fenêtre qui va s'ouvrir, copie et colle ceci:
del /a C:\WINDOWS\tasks\2B6EEBAC8015F47C.job
et valide en appuyant sur entrée
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, très important:
:: Supprimer les fichiers temporaires ::
Exécute cleanup40.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redémarre normalement et reposte un Hijackthis sur le poste…
Précises moi ou en sont tes soucis…
A+
Utilisateur anonyme
23 oct. 2005 à 13:18
23 oct. 2005 à 13:18
salut
je suis content pour toi
reactive ta restauration systeme+recache tes fichiers caches
bon dimanche
je suis content pour toi
reactive ta restauration systeme+recache tes fichiers caches
bon dimanche
22 oct. 2005 à 14:57
Voici le log
Logfile of HijackThis v1.99.1
Scan saved at 14:51:31, on 22/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\VTTimer.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijack This\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.uluxnzuutkauugbgwyyovyegj.com/Q/neI7XYsNelspGRLc8IS66oTYTUxR7hfXH/LVWfgnAGihMMxDoDreIAUm5DUZMQ.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3621B1C3-2B18-D1CB-EAE6-7B5207CDDBF3} - C:\DOCUME~1\Jessi\APPLIC~1\ShowBlue\find ball.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [1 DATA AMOK FORK] C:\Documents and Settings\All Users\Application Data\deaf more 1 data\drivecurb.exe
O4 - HKCU\..\Run: [less mp3] C:\DOCUME~1\Jessi\APPLIC~1\FRAGTH~1\idol does.exe
O4 - HKCU\..\Run: [Voissa No Pubs] C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe -hide
O4 - HKCU\..\Run: [Malware Sweeper] C:\Program Files\MalwareSweeper.com\Malware Sweeper\MalSwep.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Ajouter un Pop-Up - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
O9 - Extra 'Tools' menuitem: Tools Menu Item - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105047706495
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylom.servicesalacarte.wanadoo.fr/activex/zylomgamesplayer.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B023F86-A668-4A29-A9A7-38379AC481C2}: NameServer = 217.19.192.132 217.19.192.131
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: LBTServ - C:\WINDOWS\
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
LOPXP :
Rapport fait à 14:55:55,67 le 22/10/2005
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C3D-40FB
R‚pertoire de C:\Documents and Settings\All Users\Application Data
26/09/2005 17:21 <REP> Spybot - Search & Destroy
10/07/2005 15:33 <REP> UDL
10/07/2005 12:21 <REP> Prism
24/06/2005 11:03 <REP> Messenger Plus!
25/05/2005 20:53 <REP> deaf more 1 data
18/05/2005 11:51 <REP> Zylom
06/03/2005 16:16 <REP> Skype
05/03/2005 11:51 <REP> BVRP Software
21/02/2005 11:55 <REP> PopCap
15/01/2005 13:00 <REP> MSN6
06/01/2005 23:35 <REP> McAfee.com
06/01/2005 23:14 62 desktop.ini
06/01/2005 23:14 <REP> Microsoft
06/01/2005 23:14 <REP> ..
06/01/2005 23:14 <REP> .
1 fichier(s) 62 octets
14 R‚p(s) 50556448768 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C3D-40FB
R‚pertoire de C:\Documents and Settings\Default User\Application Data
06/01/2005 23:14 62 desktop.ini
06/01/2005 23:14 <REP> ..
06/01/2005 23:14 <REP> Microsoft
06/01/2005 23:14 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 50556448768 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C3D-40FB
R‚pertoire de C:\Documents and Settings\Jessi\Application Data
14/08/2005 04:30 <REP> ShowBlue
03/08/2005 15:18 <REP> Lavasoft
31/05/2005 19:42 <REP> Adobe
31/05/2005 19:38 <REP> InterTrust
25/05/2005 20:53 <REP> Fragthunk
25/04/2005 23:15 <REP> Yahoo!
05/03/2005 21:02 <REP> Sun
15/01/2005 13:00 <REP> MSN6
07/01/2005 12:47 <REP> Macromedia
06/01/2005 23:32 <REP> Identities
06/01/2005 23:31 62 desktop.ini
06/01/2005 23:31 <REP> Microsoft
06/01/2005 23:31 <REP> .
06/01/2005 23:31 <REP> ..
1 fichier(s) 62 octets
13 R‚p(s) 50556448768 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C3D-40FB
R‚pertoire de C:\WINDOWS\Tasks
13/10/2005 22:49 262 2B6EEBAC8015F47C.job
29/04/2005 07:13 512 Recherche de mises … jour sur McAfee.com (JESSICA-FLEURET-Autre).job
06/01/2005 23:35 512 Recherche de mises … jour sur McAfee.com (JESSICA-FLEURET-Jessi).job
06/01/2005 23:26 6 SA.DAT
06/01/2005 23:23 65 desktop.ini
06/01/2005 23:23 <REP> ..
06/01/2005 23:23 <REP> .
5 fichier(s) 1ÿ357 octets
2 R‚p(s) 50ÿ556ÿ436ÿ480 octets libres
******************************************
Recherche dans Program files
Le dossier C:\Program Files\C2Media n'existe pas
*************** Fin du rapport ****************