Bonsoir Mr Régis59 ;-)
incognito02
Messages postés
3487
Statut
Contributeur
-
incognito02 Messages postés 3487 Statut Contributeur -
incognito02 Messages postés 3487 Statut Contributeur -
Bonsoir Quentin,
Comment vas tu ?
a+
patrick
j'ai commencé a m'attaquer au post ci-dessous, j'ai l'intention de lui faire passer spybot adaware ccleaner et enfin smitfraud option 2 en mode sans échec.
qu'en penses tu ?
Adresse du poste:
http://www.commentcamarche.net/forum/affich-1906573-ma-souris-marche-toute-seule
Comment vas tu ?
a+
patrick
j'ai commencé a m'attaquer au post ci-dessous, j'ai l'intention de lui faire passer spybot adaware ccleaner et enfin smitfraud option 2 en mode sans échec.
qu'en penses tu ?
Adresse du poste:
http://www.commentcamarche.net/forum/affich-1906573-ma-souris-marche-toute-seule
195 réponses
Salut,
Bonnes fetes de fin d annees a toi aussi
Ainsi qu a toute ta famille et tes proches
[Ainsi qu'a tout ce forum (Jeff, Baltrap, Moe, S!ri,Lili Banshee,Jean,Boulepate, aranjuez, jess,Nilou,...)]
Bonnes fetes de fin d annees a toi aussi
Ainsi qu a toute ta famille et tes proches
[Ainsi qu'a tout ce forum (Jeff, Baltrap, Moe, S!ri,Lili Banshee,Jean,Boulepate, aranjuez, jess,Nilou,...)]
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut,
je suis repassé rapidement mais y a personne lol
Le pere noel avait un trou dans sa hote cette annee...
je suis repassé rapidement mais y a personne lol
Le pere noel avait un trou dans sa hote cette annee...
Ben tu vois, je suis là !
Il y a eu un bug cet après midi, pas moyen de me connecter au forum.
Message : en maintenance.... un 25 Deécembre, Jeff a du abuser des bonnes choses ! lol.
A+
Il y a eu un bug cet après midi, pas moyen de me connecter au forum.
Message : en maintenance.... un 25 Deécembre, Jeff a du abuser des bonnes choses ! lol.
A+
Salut Grand Chef,
les vacances se passent bien ?
Je patauge un peu sur ce post, est ce que tu peux me donner un coup de
main ?
http://www.commentcamarche.net/forum/affich-1992326-ordi-ramant-spyware
A++
les vacances se passent bien ?
Je patauge un peu sur ce post, est ce que tu peux me donner un coup de
main ?
http://www.commentcamarche.net/forum/affich-1992326-ordi-ramant-spyware
A++
Merci Amigo,
je vois bien certaines choses mais je ne trouve pas la source autant dire que je tourne en rond.
Pas bon ces derniers temps ....
Encore merci, je vais suivre de près pour être un peu plus au top la prochaine fois.
Amitiès.
je vois bien certaines choses mais je ne trouve pas la source autant dire que je tourne en rond.
Pas bon ces derniers temps ....
Encore merci, je vais suivre de près pour être un peu plus au top la prochaine fois.
Amitiès.
salut
L infection sur le poste est lié a msn + et les sponsors
colle hijack + lopxp et je t explique si tu veux
L infection sur le poste est lié a msn + et les sponsors
colle hijack + lopxp et je t explique si tu veux
Ah je veux bien, j'ai l'impression de ne plus rien savoir !
Je n'ai pourtant pas abuser à Noel, mais le neurone est Ko ! lol
A+
Je n'ai pourtant pas abuser à Noel, mais le neurone est Ko ! lol
A+
Hijack this,comment reperer l infection par les sponsors de msn+? comme ceci (c est en gras)
Logfile of HijackThis v1.99.1
Scan saved at 22:55:38, on 2005-12-23
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Command Software\dvpapi.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\lexpps.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Annie\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.orkabsjvmoaybwzpodrk.com/K5kkeYXoTLXcI5kK7TGgOsu9USderibICZJisKBZeFSd47Go9IzROOKlIgNIxBYi.html
En regardant cette ligne, tu sais d or et deja que les sponsors d msn ont ete installé ! Elle se presente avec des lettres a la suite des autres, d une grande longueur
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.ca/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/?lang=fr-ca
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: Pop-Up Blocker BHO - {3C060EA2-E6A9-4E49-A530-D4657B8C449A} - C:\Program Files\Zero Knowledge\Freedom\pkR.dll
O2 - BHO: COMMUNICATOR - {4E7BD74F-2B8D-469E-8DBC-A42EB79CB428} - C:\WINDOWS\system32\communicator.dll
O2 - BHO: Form Filler BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Program Files\Zero Knowledge\Freedom\FreeBHOR.dll
O2 - BHO: (no name) - {576EE1AB-B9EF-2A88-2792-036638EFAADC} - C:\DOCUME~1\Annie\APPLIC~1\STYLEG~1\BODYMEMO.exe
Tu as toujours une BHO lié a l infection, tu la cible facilement puis que le chemin se situe dans document and settind, + un nom de session (comme ci dessu)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O4 - HKLM\..\Run: [Freedom] C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
O4 - HKLM\..\Run: [gplprogramnew64] C:\Documents and Settings\All Users.WINDOWS\Application Data\AmokFirstGplProgram\AXIS BAT.exe
Ici idem, tu vois clairement le chemin
Parfois tu as 1R1;1BHO; et parfois 2 en 04
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74438457-6A87-4786-944D-40DCD6E9D58B}: NameServer = 206.47.244.79 206.47.244.138
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: interceptor.dll,msgplusloader.dll
O23 - Service: DvpApi (dvpapi) - Command Software Systems, Inc. - C:\Program Files\Fichiers communs\Command Software\dvpapi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
Ensuite , une fois reconnu, tu demandes lop xp a quoi sert il?Explication:
D'apres ce que tu as reperer dans hijack this, tu le cherches ici:(donc comme le chemin est indiqué dans le log, tu le recherche afin d avoir le nom complet !
Rapport fait à 21:33:31,29 le 2005-12-25
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\Default User\Application Data
2004-07-22 10:09 <REP> Microsoft
2004-07-22 09:55 <REP> ..
2004-07-22 09:55 <REP> .
0 fichier(s) 0 octets
3 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\All Users\Application Data
2005-12-23 08:51 <REP> Tenebril
2004-07-22 10:06 <REP> Microsoft
2004-07-22 09:55 <REP> ..
2004-07-22 09:55 <REP> .
0 fichier(s) 0 octets
4 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\user\Application Data
2005-01-21 20:34 <REP> Motive
2004-08-30 10:23 <REP> Identities
2004-08-30 10:23 <REP> Microsoft
2004-08-30 10:23 <REP> ..
2004-08-30 10:23 <REP> .
0 fichier(s) 0 octets
5 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\ctrl\Application Data
2004-07-22 10:25 <REP> Identities
2004-07-22 10:24 <REP> Microsoft
2004-07-22 10:24 <REP> ..
2004-07-22 10:24 <REP> .
0 fichier(s) 0 octets
4 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\Default User.WINDOWS\Application Data
2005-01-22 12:15 62 desktop.ini
2005-01-22 12:15 <REP> Microsoft
2005-01-22 12:15 <REP> ..
2005-01-22 12:15 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\All Users.WINDOWS\Application Data
2005-12-23 08:51 <REP> Tenebril
2005-12-15 17:34 <REP> Adobe
2005-10-14 22:46 <REP> Apple Computer
2005-08-31 14:04 <REP> Spybot - Search & Destroy
2005-08-29 13:29 <REP> vidctrl
2005-08-23 21:53 <REP> InstallShield
2005-04-14 16:41 <REP> AmokFirstGplProgram <<< repere en 04
2005-04-08 13:44 <REP> Messenger Plus!
2005-02-27 12:41 <REP> Zylom
2005-01-23 18:48 <REP> Zero Knowledge
2005-01-22 15:34 <REP> MSN6
2005-01-22 12:15 62 desktop.ini
2005-01-22 12:15 <REP> Microsoft
2005-01-22 12:15 <REP> .
2005-01-22 12:15 <REP> ..
1 fichier(s) 62 octets
14 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\Annie\Application Data
2005-12-23 09:00 <REP> Tenebril
2005-12-22 20:49 21920 GDIPFONTCACHEV1.DAT
2005-12-21 18:35 <REP> Lavasoft
2005-10-06 17:49 <REP> Real
2005-09-09 03:44 <REP> Style gpl title << repéré en 02
2005-08-25 18:57 <REP> Jasc
2005-07-02 14:24 <REP> Sun
2005-04-07 16:29 <REP> proc platform
2005-04-07 16:21 <REP> AdobeUM
2005-03-28 13:38 <REP> Mozilla
2005-03-24 20:22 <REP> Adobe
2005-03-12 23:04 <REP> Registry Cleaner
2005-02-16 22:07 <REP> Zylom
2005-01-26 22:13 <REP> Help
2005-01-23 18:51 <REP> Zero Knowledge
2005-01-22 16:30 <REP> Macromedia
2005-01-22 15:34 <REP> MSN6
2005-01-22 13:43 <REP> Identities
2005-01-22 13:43 62 desktop.ini
2005-01-22 13:43 <REP> ..
2005-01-22 13:43 <REP> .
2005-01-22 13:43 <REP> Microsoft
2 fichier(s) 21982 octets
20 R‚p(s) 3637395456 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
Afin que l infection se vire, il faut supprimer la tache planifié sinon elle revient systematiquement; elle se repere comme ceci:
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\WINDOWS\Tasks
2005-12-21 15:59 264 ABF3A22291945C8E.job Une serie de lettre et chiffres se terminant par
.job
2005-02-24 17:00 188 setup.job
2005-01-22 13:31 6 SA.DAT
2005-01-22 13:27 65 desktop.ini
2005-01-22 13:27 <REP> ..
2005-01-22 13:27 <REP> .
4 fichier(s) 523 octets
2 R‚p(s) 3ÿ637ÿ395ÿ456 octets libres
******************************************
Recherche dans Program files
Le dossier C:\Program Files\C2Media n'existe pas <--- si C2media existe ici il faut le faire supprimer !!!!!!!!
*************** Fin du rapport ****************
***************Manipulation lop.xp********************
Bonjour,
Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.
1/Telecharge ceci: Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm
Déconnecte toi d'Internet et ferme tout les programmes en cours.
Redémarre en mode sans échec
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essai F5)
Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
ICI LES LIGNES D HIJACK A FIXER
valider en cliquant sur le bouton [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime ces dossiers:
Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"
S'ils sont présents, supprime:
les fichiers a supprimer +c2media s il existe
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite fais Démarrer > exécuter et tape cmd
puis valide avec ok
dans la fenêtre qui va s'ouvrir, copie et colle ceci:
del /a C:\WINDOWS\tasks\A0AFC843918446AF.job
ICI SUPPRESSION DE LA TACHE PLANIFIE, IL SUFFI DE REMPLACER LA SERIE EN GRAS PAR CELLE TROUVER DANS LOPXP(il se peut qu il y en ai +1)
et valide en appuyant sur entrée
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, très important:
:: Supprimer les fichiers temporaires ::
Exécute cleanup40.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redémarre normalement et reposte un Hijackthis sur le poste…
Précises moi ou en sont tes soucis…
A+
Logfile of HijackThis v1.99.1
Scan saved at 22:55:38, on 2005-12-23
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Command Software\dvpapi.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\lexpps.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Annie\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.orkabsjvmoaybwzpodrk.com/K5kkeYXoTLXcI5kK7TGgOsu9USderibICZJisKBZeFSd47Go9IzROOKlIgNIxBYi.html
En regardant cette ligne, tu sais d or et deja que les sponsors d msn ont ete installé ! Elle se presente avec des lettres a la suite des autres, d une grande longueur
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.ca/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/?lang=fr-ca
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Program Files\SpyCatcher 2006\SCActiveBlock.dll
O2 - BHO: Pop-Up Blocker BHO - {3C060EA2-E6A9-4E49-A530-D4657B8C449A} - C:\Program Files\Zero Knowledge\Freedom\pkR.dll
O2 - BHO: COMMUNICATOR - {4E7BD74F-2B8D-469E-8DBC-A42EB79CB428} - C:\WINDOWS\system32\communicator.dll
O2 - BHO: Form Filler BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Program Files\Zero Knowledge\Freedom\FreeBHOR.dll
O2 - BHO: (no name) - {576EE1AB-B9EF-2A88-2792-036638EFAADC} - C:\DOCUME~1\Annie\APPLIC~1\STYLEG~1\BODYMEMO.exe
Tu as toujours une BHO lié a l infection, tu la cible facilement puis que le chemin se situe dans document and settind, + un nom de session (comme ci dessu)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr-ca\msntb.dll
O4 - HKLM\..\Run: [Freedom] C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
O4 - HKLM\..\Run: [gplprogramnew64] C:\Documents and Settings\All Users.WINDOWS\Application Data\AmokFirstGplProgram\AXIS BAT.exe
Ici idem, tu vois clairement le chemin
Parfois tu as 1R1;1BHO; et parfois 2 en 04
O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Program Files\SpyCatcher 2006\SpyCatcher.exe" reminder
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: SpyCatcher Protector.lnk = C:\Program Files\SpyCatcher 2006\Protector.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74438457-6A87-4786-944D-40DCD6E9D58B}: NameServer = 206.47.244.79 206.47.244.138
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: interceptor.dll,msgplusloader.dll
O23 - Service: DvpApi (dvpapi) - Command Software Systems, Inc. - C:\Program Files\Fichiers communs\Command Software\dvpapi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
Ensuite , une fois reconnu, tu demandes lop xp a quoi sert il?Explication:
D'apres ce que tu as reperer dans hijack this, tu le cherches ici:(donc comme le chemin est indiqué dans le log, tu le recherche afin d avoir le nom complet !
Rapport fait à 21:33:31,29 le 2005-12-25
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\Default User\Application Data
2004-07-22 10:09 <REP> Microsoft
2004-07-22 09:55 <REP> ..
2004-07-22 09:55 <REP> .
0 fichier(s) 0 octets
3 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\All Users\Application Data
2005-12-23 08:51 <REP> Tenebril
2004-07-22 10:06 <REP> Microsoft
2004-07-22 09:55 <REP> ..
2004-07-22 09:55 <REP> .
0 fichier(s) 0 octets
4 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\user\Application Data
2005-01-21 20:34 <REP> Motive
2004-08-30 10:23 <REP> Identities
2004-08-30 10:23 <REP> Microsoft
2004-08-30 10:23 <REP> ..
2004-08-30 10:23 <REP> .
0 fichier(s) 0 octets
5 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\ctrl\Application Data
2004-07-22 10:25 <REP> Identities
2004-07-22 10:24 <REP> Microsoft
2004-07-22 10:24 <REP> ..
2004-07-22 10:24 <REP> .
0 fichier(s) 0 octets
4 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\Default User.WINDOWS\Application Data
2005-01-22 12:15 62 desktop.ini
2005-01-22 12:15 <REP> Microsoft
2005-01-22 12:15 <REP> ..
2005-01-22 12:15 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\All Users.WINDOWS\Application Data
2005-12-23 08:51 <REP> Tenebril
2005-12-15 17:34 <REP> Adobe
2005-10-14 22:46 <REP> Apple Computer
2005-08-31 14:04 <REP> Spybot - Search & Destroy
2005-08-29 13:29 <REP> vidctrl
2005-08-23 21:53 <REP> InstallShield
2005-04-14 16:41 <REP> AmokFirstGplProgram <<< repere en 04
2005-04-08 13:44 <REP> Messenger Plus!
2005-02-27 12:41 <REP> Zylom
2005-01-23 18:48 <REP> Zero Knowledge
2005-01-22 15:34 <REP> MSN6
2005-01-22 12:15 62 desktop.ini
2005-01-22 12:15 <REP> Microsoft
2005-01-22 12:15 <REP> .
2005-01-22 12:15 <REP> ..
1 fichier(s) 62 octets
14 R‚p(s) 3637395456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\Documents and Settings\Annie\Application Data
2005-12-23 09:00 <REP> Tenebril
2005-12-22 20:49 21920 GDIPFONTCACHEV1.DAT
2005-12-21 18:35 <REP> Lavasoft
2005-10-06 17:49 <REP> Real
2005-09-09 03:44 <REP> Style gpl title << repéré en 02
2005-08-25 18:57 <REP> Jasc
2005-07-02 14:24 <REP> Sun
2005-04-07 16:29 <REP> proc platform
2005-04-07 16:21 <REP> AdobeUM
2005-03-28 13:38 <REP> Mozilla
2005-03-24 20:22 <REP> Adobe
2005-03-12 23:04 <REP> Registry Cleaner
2005-02-16 22:07 <REP> Zylom
2005-01-26 22:13 <REP> Help
2005-01-23 18:51 <REP> Zero Knowledge
2005-01-22 16:30 <REP> Macromedia
2005-01-22 15:34 <REP> MSN6
2005-01-22 13:43 <REP> Identities
2005-01-22 13:43 62 desktop.ini
2005-01-22 13:43 <REP> ..
2005-01-22 13:43 <REP> .
2005-01-22 13:43 <REP> Microsoft
2 fichier(s) 21982 octets
20 R‚p(s) 3637395456 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
Afin que l infection se vire, il faut supprimer la tache planifié sinon elle revient systematiquement; elle se repere comme ceci:
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4017-0FF2
R‚pertoire de C:\WINDOWS\Tasks
2005-12-21 15:59 264 ABF3A22291945C8E.job Une serie de lettre et chiffres se terminant par
.job
2005-02-24 17:00 188 setup.job
2005-01-22 13:31 6 SA.DAT
2005-01-22 13:27 65 desktop.ini
2005-01-22 13:27 <REP> ..
2005-01-22 13:27 <REP> .
4 fichier(s) 523 octets
2 R‚p(s) 3ÿ637ÿ395ÿ456 octets libres
******************************************
Recherche dans Program files
Le dossier C:\Program Files\C2Media n'existe pas <--- si C2media existe ici il faut le faire supprimer !!!!!!!!
*************** Fin du rapport ****************
***************Manipulation lop.xp********************
Bonjour,
Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.
1/Telecharge ceci: Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm
Déconnecte toi d'Internet et ferme tout les programmes en cours.
Redémarre en mode sans échec
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essai F5)
Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
ICI LES LIGNES D HIJACK A FIXER
valider en cliquant sur le bouton [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime ces dossiers:
Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"
S'ils sont présents, supprime:
les fichiers a supprimer +c2media s il existe
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite fais Démarrer > exécuter et tape cmd
puis valide avec ok
dans la fenêtre qui va s'ouvrir, copie et colle ceci:
del /a C:\WINDOWS\tasks\A0AFC843918446AF.job
ICI SUPPRESSION DE LA TACHE PLANIFIE, IL SUFFI DE REMPLACER LA SERIE EN GRAS PAR CELLE TROUVER DANS LOPXP(il se peut qu il y en ai +1)
et valide en appuyant sur entrée
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, très important:
:: Supprimer les fichiers temporaires ::
Exécute cleanup40.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redémarre normalement et reposte un Hijackthis sur le poste…
Précises moi ou en sont tes soucis…
A+
Merci Beaucoup Maitre Régis ,
J'avais vu la fameuse R1 et le del du Task par contre
O2 et O4, je n'ai pas été assez agressif en regardant le log !
Ca me "bouffe" de laisser passer un truc aussi simple ! j'en ai honte !
Encore merci Amigo !
Bon, je vais dormir un peu car la journée au boulot a été très longue !
J'espère que demain je ferai mieux !
Encore merci pour le cours particulier : tu devrais faire prof Es virus !
Bonne nuit Amigo !
A+
Au faites, pour ce problème :
http://www.commentcamarche.net/forum/affich-1971128-mon-PC-est-poss%E9d%E9-suite
elle n'aurai pas un autoexec.bat à la con ?
J'avais vu la fameuse R1 et le del du Task par contre
O2 et O4, je n'ai pas été assez agressif en regardant le log !
Ca me "bouffe" de laisser passer un truc aussi simple ! j'en ai honte !
Encore merci Amigo !
Bon, je vais dormir un peu car la journée au boulot a été très longue !
J'espère que demain je ferai mieux !
Encore merci pour le cours particulier : tu devrais faire prof Es virus !
Bonne nuit Amigo !
A+
Au faites, pour ce problème :
http://www.commentcamarche.net/forum/affich-1971128-mon-PC-est-poss%E9d%E9-suite
elle n'aurai pas un autoexec.bat à la con ?
De rien mais je ne suis pas du tout un Maitre comme tu le pretends
Prochaine fois, essai de te lancer, il suffit d une fois
Dors bien.
Prochaine fois, essai de te lancer, il suffit d une fois
Dors bien.
Bonjour Régis59 ! :-))
Tous mes meilleurs voeux pour cette nouvelle année !
La santé, la joie, le bonheur, la réussite dans tes études et ... pas trop de virus !
Amitiès .
Tous mes meilleurs voeux pour cette nouvelle année !
La santé, la joie, le bonheur, la réussite dans tes études et ... pas trop de virus !
Amitiès .