Sujet Précédent Sujet Suivant

Ver, virus, spy...Qui peux sauver mon pc?

Tite Céline -  
 force-5 -
Bonjour à tous ceux qui liront ce messages!!!
Voilà, je vous écris dans l'espoir de trouver quelqun qui puisse me sortir de ma galere qui dure depuis déjà des mois! J'ai un ver, du moins il me semble car un processus veut éteindre mon pc et je l'arrète en tappant "shutdown -a" dans "éxécuter"... Mais cela ne le vire pas pour autant et j'ai un anti virus ( virus scan) mais il n'a pas l'air efficace!J'ai du choper un cheval de troie qui doit lui provenir de mon cd d'installation neuf tel pour installer la neuf box car j'ai formaté le pc des milions de fois mais à chaque fois que je le réinstalle alors mes problemes resurgissent!
Plusiuers noms apparaissent dans mes alertes de virus scan ( je ne les ai pas sous la main pour les dire) mais j'espère qu'il existe une solution pour tout virer...
J'ai essayé "secuser.com" mais il ne veut pas telecharger le truc d'annlyse, donc c genant. J'ai des fenetre de pub intempestives, mais ad-aware, meme si à chaque fois il m'enleve des spy et tout, n'y change rien non plus.
J'ai aussi des message type "pokapoka79" a du fermer ou chai pas koi et cmd.exe s'ouvre par trois fenêtres à chaques fois que j'allume le pc, avant que l'annonce d'éteignage du pc intervienne!
Enfin, tout ça pour dire que YEN A MARRE!!!
S'il vous plait, quelqun peut il me libérer de cette situation?

Merci beaucoup d'avance les gens!!!!
A voir également:

34 réponses

  • 1
  • 2
Réponse 1 / 34
Utilisateur anonyme
 
salut
télécharge HijackThis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (merci à balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

a+
0
Tite Celine
 
Merci beaucoup à toi et surtou pour la rapidité de ta réponse! ;-)
C'est chouette! On se demande pourquoi ya des cons qui crée les virus, mais heureusement qui ya des gentils pour donner des solutions!!
0
Réponse 2 / 34
Utilisateur anonyme
 
lol
n oublie pas de me donner le rapport
0
Réponse 3 / 34
Tite Céline
 
Logfile of HijackThis v1.99.1
Scan saved at 22:28:02, on 02/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programmes\Common Framework\FrameworkService.exe
C:\WINDOWS\System32\RunDll32.exe
D:\Programmes\Mc Afee antivir\SHSTAT.EXE
D:\Programmes\Common Framework\UpdaterUI.exe
D:\Programmes\Mc Afee antivir\Mcshield.exe
D:\Programmes\msn plus\MsgPlus.exe
D:\Programmes\Mc Afee antivir\VsTskMgr.exe
D:\Programmes\Winamp\winampa.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\csrs.exe
C:\windows\sp2update00.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\etb\pokapoka79.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Programmes\Emule\emule.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
D:\Programmes\Winrar\WinRAR.exe
C:\DOCUME~1\CLINE~1\LOCALS~1\Temp\Rar$EX00.578\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.seektheglobe.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.seektheglobe.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.seektheglobe.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoft.de/news/product/info/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 218.83.158.204 www.halifax-online.co.uk
O1 - Hosts: 218.83.158.204 ibank.barclays.co.uk
O1 - Hosts: 218.83.158.204 online.lloydstsb.co.uk
O1 - Hosts: 218.83.158.204 online-business.lloydstsb.co.uk
O1 - Hosts: 218.83.158.204 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 218.83.158.204 www.nwolb.com
O1 - Hosts: 218.83.158.204 banesnet.banesto.es
O1 - Hosts: 218.83.158.204 extranet.banesto.es
O1 - Hosts: 218.83.158.204 ebanking.bccbrescia.it
O1 - Hosts: 218.83.158.204 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 218.83.158.204 www.rbsdigital.com
O1 - Hosts: 218.83.158.204 oi.cajamadrid.es
O1 - Hosts: 218.83.158.204 bancae.caixapenedes.com
O1 - Hosts: 218.83.158.204 banking.postbank.de
O1 - Hosts: 218.83.158.204 meine.deutsche-bank.de
O1 - Hosts: 218.83.158.204 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 218.83.158.204 ibank.cahoot.com
O1 - Hosts: 218.83.158.204 webbank.openplan.co.uk
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ShStatEXE] "D:\Programmes\Mc Afee antivir\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programmes\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmes\msn plus\MsgPlus.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Programmes\Winamp\winampa.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\Run: [ariMvdxqeb] C:\WINDOWS\System32\zraim.exe
O4 - HKLM\..\Run: [System service79] C:\WINDOWS\etb\pokapoka79.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKLM\..\RunServices: [ariMvdxqeb] C:\WINDOWS\System32\zraim.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programmes\Emule\emule.exe -AutoStart
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.sharewareonline.com/adserver/Install.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - D:\Programmes\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\Programmes\Mc Afee antivir\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\Programmes\Mc Afee antivir\VsTskMgr.exe

Merci car je comprenais pas en koi ca m'avancais lol
0
Réponse 4 / 34
Utilisateur anonyme
 
Bonjour,

Méthode à suivre dans l'ordre...
----------------------------------------------------------------------------
¤Télécharge ces logiciels mais que tu n‘utilises pas tout de suite:

1/

Spybot S&D 1.4 <<nouvelle version.
http://www.safer-networking.org/fr/index.html

Démo d’utilisation (merci à Balltrap34 pour cette réalisation).
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

2/

Ad-Aware SE 1.06 <<nouvelle version.
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourras le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation).
http://pageperso.aol.fr/balltrap34/adawrevid.asf
----------------------------------------------------------------------------
¤Désactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique.
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !
----------------------------------------------------------------------------
¤Vide tes fichiers temps et temporary internet file:

:: Supprimer les fichiers temporaires ::
vider tout le contenu de ces dossiers.

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !
----------------------------------------------------------------------------
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.seektheglobe.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.seektheglobe.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.seektheglobe.com/sp2.php

O1 - Hosts: 218.83.158.204 www.halifax-online.co.uk
O1 - Hosts: 218.83.158.204 ibank.barclays.co.uk
O1 - Hosts: 218.83.158.204 online.lloydstsb.co.uk
O1 - Hosts: 218.83.158.204 online-business.lloydstsb.co.uk
O1 - Hosts: 218.83.158.204 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 218.83.158.204 www.nwolb.com
O1 - Hosts: 218.83.158.204 banesnet.banesto.es
O1 - Hosts: 218.83.158.204 extranet.banesto.es
O1 - Hosts: 218.83.158.204 ebanking.bccbrescia.it
O1 - Hosts: 218.83.158.204 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 218.83.158.204 www.rbsdigital.com
O1 - Hosts: 218.83.158.204 oi.cajamadrid.es
O1 - Hosts: 218.83.158.204 bancae.caixapenedes.com
O1 - Hosts: 218.83.158.204 banking.postbank.de
O1 - Hosts: 218.83.158.204 meine.deutsche-bank.de
O1 - Hosts: 218.83.158.204 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 218.83.158.204 ibank.cahoot.com
O1 - Hosts: 218.83.158.204 webbank.openplan.co.uk

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe

O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe

O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe

O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe

O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe

O4 - HKLM\..\Run: [ariMvdxqeb] C:\WINDOWS\System32\zraim.exe

O4 - HKLM\..\Run: [System service79] C:\WINDOWS\etb\pokapoka79.exe

O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe

O4 - HKLM\..\RunServices: [ariMvdxqeb] C:\WINDOWS\System32\zraim.exe

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.sharewareonline.com/adserver/Install.cab

----------------------------------------------------------------------------
¤Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si présents).

Verifie bien l ortographe, parfois l ordre des l ordre est capital, supprime que ce qui est indique si dessou et "ortographiquement "identique

C:\WINDOWS\System32\csrs.exe
C:\windows\msresearch.exe
C:\windows\sp2update00.exe
scvhost.exe
C:\WINDOWS\system32\syshost.exe
C:\WINDOWS\System32\zraim.exe
C:\WINDOWS\etb <--le dossier
scvhost.exe
C:\WINDOWS\System32\zraim.exe

----------------------------------------------------------------------------
¤ Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
----------------------------------------------------------------------------
¤ Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
----------------------------------------------------------------------------
¤ Vide ta Corbeille.
----------------------------------------------------------------------------
¤ Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Précise tes soucis s’il en reste....

Tiens-moi au courant

A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 34
Tite céline
 
Alors mercidéja pour ces réponses... J'ai du m'absenter de chez moi quelques jours et c'est pour cela que je n'ai pas pu agir!! Donc je vais suivre ces conseils et je vous donne mes news de suite apres! Merci encore!
0
Réponse 6 / 34
Utilisateur anonyme
 
coucou tite celine
c est pas grave, on t as laisser la manip au frais

bon courage

a++
0
Réponse 7 / 34
Tite Céline
 
C gentil!!! Bon la je commence a essaye les manip, mais déjà pour supprimer les fichiers temporaires ya des récalcitrants!!! En plus mon systeme est pourri donc dès que je dois faire shutdown pour stopper le ver direct je peux plus rien faire... Je sais meme pas si ce message va aboutir!!! Enfin... Je suis patiente je redémarre tant kil faut! lol
0
Réponse 8 / 34
Tite Céline
 
Alors ya deux fichiers temp qui résiste encore et toujours c'est:
qhpmuivgfq.ukv
~DF1.tmp
et celui la qui vient de se rajouter
590492_9104_6380_9312_79.41.tst
0
Réponse 9 / 34
Tite Céline
 
Bon j'en suis a supprimer windows prefetch mais ya pas de layout.ini donc j'efface tout...
0
Réponse 10 / 34
ben13010 Messages postés 3369 Statut Contributeur 387
 
salut

non efface pas tout

deja est ce que tuas fais la manip decrite par regis ?

¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.


sinon tu verra pas certains fichiers

bye
0
Réponse 11 / 34
Tite Céline
 
oui g fait tout ca mais g tout effacé quand meme oups!
0
Réponse 12 / 34
tite céline
 
Voilà... J'ai fait mode sans echec j'ai pu effacer :
C:/WINDOWS/system32/csrs.exe
C:/WINDOWS/sp2update00.exe
c:/WINDOWS/system32/syshost.exe
Mais, pour C:/WINDOWS/etb Il n'y avait pas scvhost.exe
Pour C:/WINDOWS/system32/zraim.exe il n'existait pas non plus (il n'était pas non plus dans la liste de Hijackthis...
et pour C:/WINDOWS/msresearch.exe il n'y avait en fait que "msresearch1.dat" donc j'y ai pas touché...

Je rescan avec Hijack et voila le résultat:

Logfile of HijackThis v1.99.1
Scan saved at 15:17:38, on 06/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
D:\Programmes\Mc Afee antivir\SHSTAT.EXE
D:\Programmes\Common Framework\UpdaterUI.exe
D:\Programmes\msn plus\MsgPlus.exe
D:\Programmes\Winamp\winampa.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\scvhost.exe
D:\Programmes\Emule\emule.exe
C:\WINDOWS\Y2VsaW4\command.exe
D:\Programmes\Common Framework\FrameworkService.exe
D:\Programmes\Mc Afee antivir\Mcshield.exe
D:\Programmes\Mc Afee antivir\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\COMMON~1\naPrdMgr.exe
C:\WINDOWS\system32\syshost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
D:\Programmes\Winrar\WinRAR.exe
D:\Programmes\Winrar\WinRAR.exe
C:\DOCUME~1\CLINE~1\LOCALS~1\Temp\Rar$EX01.765\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoft.de/news/product/info/
O1 - Hosts: 209.190.4.218 www.halifax-online.co.uk
O1 - Hosts: 209.190.4.218 ibank.barclays.co.uk

Il est a noter qu'au démarrage j'ai encore vu une fenêtre cmd.exe mais à la différence d'avnt yen a qu'une, mais par contre, ce qui doit en fait avoir une solution différente, le vers est toujours là, il a voulu rééteindre mon systeme...
On me parle de Sasser pour lui... Donc voila mon "nouveau probleme" qui date en fait de l'installation du cd de neuf tel pour mon modem...

Merci en tout cas car je pense déjà être débarrasée d'un bon nombre de truc relou car déjà explorer a débuté en aboutblank au lieu de la page merdik de chai pas koi et toujours pas de fenêtre intempestive de réapparue!!
0
Réponse 13 / 34
Utilisateur anonyme
 
salut
il y a toujours des choses a supprimer !
tu ne m as pas mis le rapport en entier, peux tu recommencer stp.?

a+
0
Réponse 14 / 34
Tite céline
 
Je te le renvois mais la ya des trucs qui marchent plus genre couper coller et tout donc ca me lourde j'ai du supprimer des trucs qui falai pas alors je v reformater....

Logfile of HijackThis v1.99.1
Scan saved at 16:16:56, on 06/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
D:\Programmes\Mc Afee antivir\SHSTAT.EXE
D:\Programmes\Common Framework\UpdaterUI.exe
D:\Programmes\msn plus\MsgPlus.exe
D:\Programmes\Winamp\winampa.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\scvhost.exe
D:\Programmes\Emule\emule.exe
C:\WINDOWS\Y2VsaW4\command.exe
D:\Programmes\Common Framework\FrameworkService.exe
D:\Programmes\Mc Afee antivir\Mcshield.exe
D:\Programmes\Mc Afee antivir\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\COMMON~1\naPrdMgr.exe
C:\WINDOWS\system32\syshost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Programmes\Winrar\WinRAR.exe
C:\DOCUME~1\CLINE~1\LOCALS~1\Temp\Rar$EX00.579\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoft.de/news/product/info/
O1 - Hosts: 209.190.4.218 www.halifax-online.co.uk
O1 - Hosts: 209.190.4.218 ibank.barclays.co.uk
O1 - Hosts: 209.190.4.218 online.lloydstsb.co.uk
O1 - Hosts: 209.190.4.218 online-business.lloydstsb.co.uk
O1 - Hosts: 209.190.4.218 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 209.190.4.218 www.nwolb.com
O1 - Hosts: 209.190.4.218 banesnet.banesto.es
O1 - Hosts: 209.190.4.218 extranet.banesto.es
O1 - Hosts: 209.190.4.218 ebanking.bccbrescia.it
O1 - Hosts: 209.190.4.218 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 209.190.4.218 www.rbsdigital.com
O1 - Hosts: 209.190.4.218 oi.cajamadrid.es
O1 - Hosts: 209.190.4.218 bancae.caixapenedes.com
O1 - Hosts: 209.190.4.218 banking.postbank.de
O1 - Hosts: 209.190.4.218 meine.deutsche-bank.de
O1 - Hosts: 209.190.4.218 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 209.190.4.218 ibank.cahoot.com
O1 - Hosts: 209.190.4.218 webbank.openplan.co.uk
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ShStatEXE] "D:\Programmes\Mc Afee antivir\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programmes\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmes\msn plus\MsgPlus.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Programmes\Winamp\winampa.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [ariMvdxqeb] C:\WINDOWS\System32\hrxkidrgmb.exe
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\Run: [System service79] C:\WINDOWS\etb\pokapoka79.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\RunServices: [ariMvdxqeb] C:\WINDOWS\System32\hrxkidrgmb.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programmes\Emule\emule.exe -AutoStart
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Y2VsaW4\command.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - D:\Programmes\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\Programmes\Mc Afee antivir\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\Programmes\Mc Afee antivir\VsTskMgr.exe

Voila tout ce ki s'affiche.Je reformate maintenant
0
Réponse 15 / 34
incognito02 Messages postés 3487 Statut Contributeur 138
 
Régis,

Voila un log garni !

scvhost, syshost ..... la collection !!!!
0
Réponse 16 / 34
Utilisateur anonyme
 
Oui garni,

mais je viens de voir cela: "Je reformate maintenant"

??tu formates??
0
incognito02 Messages postés 3487 Statut Contributeur 138
 
à sa place je reformate pas !

mais y a du boulot : pokapoka, les 2 que je viens de te nommer, + les O1 + virer msnplus, virer Emule (saloperie !) et ca:
O4 - HKLM\..\Run: [ariMvdxqeb] C:\WINDOWS\System32\hrxkidrgmb.exe
0
Réponse 17 / 34
Utilisateur anonyme
 
oui, vu le nombre de virus, normal que cela merde...

mais bon...je ne sais si elle formate ou pas...
0
incognito02 Messages postés 3487 Statut Contributeur 138
 
Vu son message, elle doit en être au : format C: ! lol
0
Réponse 18 / 34
Utilisateur anonyme
 
lol
0
Réponse 19 / 34
Tite Céline
 
reeeeeeeeeeeeeeeeeeeee
0
Réponse 20 / 34
Utilisateur anonyme
 
Re,
tu as formater finalement?
0