Analyse log Hijack This

Résolu
_Agnes -  
 Utilisateur anonyme -
Bonjour

On m'a donné pour bosser un pc infecté de virus et toute autre sale bête du même genre.
J'ai nettoyé à grand coups de Spybot, Ad Aware et Clean UP, mais j'ai toujours des problèmes.
Je n'arrive pas à lancer une analyse antivirus (Norton Corporate Edition)
Pourriez vous analyser ce log d'Hijack this s'il vous plaît !

Merci :)

Logfile of HijackThis v1.99.1
Scan saved at 12:27:53, on 22/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\qirgdf.exe
C:\WINDOWS\Explorer.exe
C:\Documents and Settings\Thierry\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Scriptlet.Tools - {3E4563A4-2A9B-4912-BE38-906A0CB702CC} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\tools.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ohb - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\system32\nsf4E.dll
O2 - BHO: Scriptlet.Tools - {EEBA788A-C268-492A-B7FE-42C2B6C553D4} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bin\bin.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [wtqlxiv] c:\windows\system32\czjpqlc.exe
O4 - HKLM\..\Run: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [byjkoa] C:\WINDOWS\system32\qirgdf.exe r
O4 - HKLM\..\RunServices: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cab
O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} (iiittt Class) - http://www.hotsearchbar.com/toolbar30/hsrb.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spamextract.com/sx/SpEx2.102995pur_opt/SpamExtractWebInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{153DC66F-34E7-4579-80A2-BDD2E0451AA8}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8AB9015-AA3A-4545-8BB9-95B9E84F7918}: NameServer = 194.2.0.20,194.2.0.50
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
--
♪♫ Petit Papa Noël...♫♪
Configuration: Win XP SP2
Norton Corporate Edition

23 réponses

  • 1
  • 2
  1. _Agnes
     
    up :)
    ♪♫ Petit Papa Noël...♫♪
    0
  2. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonjour Agnès...

    Tous les cadors sont au sport d'hiver, mais je vais essayé de t'aider un chti pneu !

    Lance HijackThis:

    clique sur "do a system scan only"

    * Cocher la case au début de ces lignes:

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

    O1 - Hosts: 64.91.255.87 www.dcsresearch.com
    * Valider avec fix checked

    O4 - HKLM\..\Run: [wtqlxiv] c:\windows\system32\czjpqlc.exe

    O4 - HKLM\..\Run: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe

    O4 - HKLM\..\Run: [byjkoa] C:\WINDOWS\system32\qirgdf.exe r

    O4 - HKLM\..\RunServices: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe

    O4 - HKCU\..\Run: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe

    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l allumage du pc sans t arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
    (Si F8 ne marche pas utilise la touche F5)

    Vide tes fichiers temps et tempory internet file:
    utilise ceci pour le faire (tu as télécharger avant)
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe

    Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais «Ok» pour valider les changements.

    Et appliquer !

    ensuite,Recherche et supprime ceci:
    attention seulement les fichiers (si présents).

    c:\windows\system32\czjpqlc.exe
    C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe
    C:\WINDOWS\system32\qirgdf.exe

    Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
    ----------------------------------------------------------------------------
    ¤ Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
    ----------------------------------------------------------------------------
    ¤ Vide ta Corbeille.
    ----------------------------------------------------------------------------
    ¤ Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum.

    Bon courage.

    A+

    0
  3. _Agnes
     
    Salut :)

    Merci pour ta réponse. Juste une question, quand tu me dis de lancer Hjackthis et de faire les corrections, faut le faire en mode sans échec ou pas ?
    0
  4. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Agnès,

    Pour la première partie en mode normal.

    Relis bien ma première réponse.

    Bon courage. :-))

    A bientôt.

    Nobody is perfect, mais j'essaye .....
    0
    1. _Agnes
       
      C'est bien ce qu'il me semblait mais dans le doute :)
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. _Agnes
     
    Re salut :)

    J'ai bien fait tout ce que tu m'as dit
    Voilà le log HijackThis qui en ressort :

    Logfile of HijackThis v1.99.1
    Scan saved at 15:09:48, on 22/12/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\Explorer.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    C:\WINDOWS\system32\glcfzjt.exe
    C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Documents and Settings\Thierry\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {3E4563A4-2A9B-4912-BE38-906A0CB702CC} - (no file)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: ohb - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\system32\nsf4E.dll
    O2 - BHO: Scriptlet.Tools - {EEBA788A-C268-492A-B7FE-42C2B6C553D4} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bin\bin.dll
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    O4 - HKLM\..\Run: [akyhmqo] C:\WINDOWS\system32\glcfzjt.exe r
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
    O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cab
    O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - http://www.hotsearchbar.com/toolbar30/hsrb.cab
    O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spamextract.com/sx/SpEx2.102995pur_opt/SpamExtractWebInstall.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{153DC66F-34E7-4579-80A2-BDD2E0451AA8}: NameServer = 194.2.0.20,194.2.0.50
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D8AB9015-AA3A-4545-8BB9-95B9E84F7918}: NameServer = 194.2.0.20,194.2.0.50
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    Merci :)
    0
  7. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Y'a une bestiole qui s'accroche ! et ce n'est pas un morpion !
    Oups excuses moi, je déraille par moment.

    On va essayer ça pour le destroyer :
    salut

    Télécharge lopxp ici:

    http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)

    2) dezippe le (clic droit dessus > extraire tout)
    et lance lopxp.bat
    le bloc note va s'ouvrir, copie et colle le contenu ici

    A+
    0
  8. _Agnes
     
    :)
    Je commence à craquer aussi !!!
    Y'a une fenêtre "Best Offers" qui s'affiche tout le temps ca me gonfle :)

    Voilà le rapport :)
    Et encore merci pour ton aide !
    Rapport fait à 16:16:30,93 le 22/12/2005

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 4029-13DD

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    08/03/2004 13:31 62 desktop.ini
    08/03/2004 13:30 <REP> Microsoft
    08/03/2004 13:30 <REP> ..
    08/03/2004 13:30 <REP> .
    1 fichier(s) 62 octets
    3 R‚p(s) 54977003520 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 4029-13DD

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    22/12/2005 10:34 <REP> Spybot - Search & Destroy
    24/11/2005 12:17 <REP> UDL
    27/09/2005 09:49 <REP> Bin
    05/09/2005 10:25 <REP> Tools
    08/04/2005 13:47 <REP> Skype
    12/07/2004 11:08 <REP> QuickTime
    08/03/2004 13:57 <REP> Symantec
    08/03/2004 13:31 62 desktop.ini
    08/03/2004 13:30 <REP> Microsoft
    08/03/2004 13:30 <REP> .
    08/03/2004 13:30 <REP> ..
    1 fichier(s) 62 octets
    10 R‚p(s) 54977003520 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 4029-13DD

    R‚pertoire de C:\Documents and Settings\Thierry\Application Data

    22/12/2005 12:53 <REP> Sun
    22/12/2005 10:33 <REP> Mozilla
    09/12/2005 18:12 <REP> Nokia
    09/12/2005 18:12 <REP> Datalayer
    15/09/2005 14:32 <REP> Lavasoft
    18/05/2005 16:51 <REP> Yahoo!
    08/04/2005 13:47 <REP> Skype
    08/04/2005 13:10 <REP> SpamExtract
    28/07/2004 11:47 <REP> InterTrust
    15/06/2004 14:34 <REP> Help
    15/04/2004 12:28 <REP> K9
    08/03/2004 15:09 <REP> Adobe
    08/03/2004 14:58 <REP> Macromedia
    08/03/2004 14:18 26492 Valeurs s‚par‚es par des virgules (Windows).ADR
    08/03/2004 14:05 <REP> Microsoft Web Folders
    08/03/2004 13:45 <REP> Identities
    08/03/2004 13:45 62 desktop.ini
    08/03/2004 13:45 <REP> Microsoft
    08/03/2004 13:45 <REP> .
    08/03/2004 13:45 <REP> ..
    2 fichier(s) 26554 octets
    18 R‚p(s) 54977003520 octets libres
    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 4029-13DD

    R‚pertoire de C:\WINDOWS\Tasks

    22/12/2005 11:15 332 Spybot - Search & Destroy - Scheduled Task.job
    08/03/2004 13:39 6 SA.DAT
    08/03/2004 13:37 65 desktop.ini
    01/01/1980 00:00 <REP> ..
    01/01/1980 00:00 <REP> .
    3 fichier(s) 403 octets
    2 R‚p(s) 54ÿ977ÿ003ÿ520 octets libres

    ******************************************
    Recherche dans Program files

    Le dossier C:\Program Files\C2Media n'existe pas

    *************** Fin du rapport ****************
    0
  9. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Arghhh Sa..... de nail.exe !!

    Crées un fichier avec le bloc note et colle ce texte dedans :

    ECHO OFF
    cd\windows
    Nail.exe /FULLREMOVE
    sc config SvcProc start= disabled
    sc stop SvcProc
    sc delete SvcProc
    attrib -s -r -h nail.exe
    attrib -s -r -h svcproc.exe
    del nail.exe
    del svcproc.exe
    exit

    Enregistre le fichier sur ton bureau sous le nom remove.bat en séllectionnant "all" dans type de fichier
    ----

    Redémarre en mode sans échec (session administrateur si possible), (en tapotant F8 au démarrage).
    ---

    Double-clic sur remove.bat. Une fenêtre devrait s'ouvrir et se fermer très rapidement --- c'est normale.
    ---

    Redemarre en mode normal, et relance hijackthis et post le log ici stp.

    A+

    0
  10. Utilisateur anonyme
     
    Si no result, j essaierais lol
    0
  11. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Ah oui oui oui !

    le Big Chef à l'oeuvre, je veux voir ça ! miam miam !!!!

    Planquez vous ça va barder !!!!

    Agnès une moderatrice - contributrice avec un profil aussi pauvre, tu n'as pas honte ! lol

    A+++

    0
  12. _Agnes
     
    C'est encore moi :)

    Bon ben à priori, ce pu**** de Nail.exe est toujours là :(
    Je vais pleurer :(

    Logfile of HijackThis v1.99.1
    Scan saved at 16:51:03, on 22/12/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
    C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\gyapjer.exe
    C:\Program Files\a-squared\a2guard.exe
    C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Documents and Settings\Thierry\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: ohb - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\system32\nsf4E.dll
    O2 - BHO: Scriptlet.Tools - {EEBA788A-C268-492A-B7FE-42C2B6C553D4} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bin\bin.dll
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    O4 - HKLM\..\Run: [tynsmr] C:\WINDOWS\system32\gyapjer.exe r
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
    O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cab
    O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - http://www.hotsearchbar.com/toolbar30/hsrb.cab
    O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spamextract.com/sx/SpEx2.102995pur_opt/SpamExtractWebInstall.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{153DC66F-34E7-4579-80A2-BDD2E0451AA8}: NameServer = 194.2.0.20,194.2.0.50
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D8AB9015-AA3A-4545-8BB9-95B9E84F7918}: NameServer = 194.2.0.20,194.2.0.50
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    Merci pour votre aide Messieurs !
    0
  13. Utilisateur anonyme
     
    re,
    ----------------------------------------------------------------------------
    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais «Ok» pour valider les changements.

    Et appliquer !
    ----------------------------------------------------------------------------
    deja commence par supprimer ce spyware:

    Fixe ceci:
    O2 - BHO: ohb - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\system32\nsf4E.dll

    O2 - BHO: Scriptlet.Tools - {EEBA788A-C268-492A-B7FE-42C2B6C553D4} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bin\bin.dll

    ----------------------------------------------------------------------------
    ¤Recherche et supprime ceci:
    attention seulement les fichiers (si présents).

    C:\document and setting\ALLUSER\APPLICATION AND DATA\Bin
    C:\document and setting\ALLUSER\APPLICATION AND DATA\Tools
    C:\ProgramFiles\Lycos

    Alors pour la suite, imprime ce poste car la manip est longue et il faut beaucoup de rigueur.

    IMPORTANT:

    ne pas laisser redémarrer l'ordi en mode normal entre chaque manip. (Au risque de repartir à zéro).

    2) télécharge ceci

    1/LM2FIX
    http://www.downloads.subratam.org/l2mfix.exe

    2/clean up
    http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
    -aide en image:(merci à Balltrap34).
    http://pageperso.aol.fr/balltrap34/democleanup.htm

    Télécharge: Pocket Killbox ici
    http://www.downloads.subratam.org/KillBox.exe
    regarde la vidéo sur l’utilisation avec le block note, on va s’en servir plus tard:
    http://pageperso.aol.fr/balltrap34/killbox.htm

    mais ne fais rien de plus.

    assure toi de ceci

    Affiche tous les fichiers et dossiers :
    cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.
    Et appliquer

    ► vide tes fichiers temps et tempory internet file sur tous les utilisateur
    utilise ceci pour le faire
    http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

    4) Lance L2mfix

    décompresse le double click sur l2mfix.bat appuie sur n importe quelle touche et ensuite choisi l option 2
    à la fin le programme devrait redémarrer ton système, des le lancement du bios, tapote sur la touche F8 afin de basculer en mode sans échec (attention c’est Tres important)

    5) Killbox
    1- Double-clic sur KillBox.exe
    2- ouvre le bloc notes et copie la liste en gras ci-dessous
    3- Sélectionne "Delete on Reboot"
    4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier
    5- revient sur killbox, et dans le menu du haut clic sur File, puis sur paste from clipboard
    5- clic sur le rond rouge
    6- une fenêtre va apparaître pour confirmation clic sur OUI
    7- une seconde fenêtre te demande si tu veux redémarrer clic sur OUI

    liste

    C:\WINDOWS\Nail.exe
    C:\WINDOWS\system32\gyapjer.exe r

    quand killbox redémarre le pc, appuie immédiatement sur F8, pour passer en mode sans échec (tu ne dois pas revenir en mode normal des que tu as fait lm2fix pour la premiere fois, toujours etre en mode sans echec)

    6) lance Hijackthis et fixe :

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

    O4 - HKLM\..\Run: [tynsmr] C:\WINDOWS\system32\gyapjer.exe r

    8) repasse l2mfix option 2, laisse redémarrer normalement et refait un log Hijack

    bon travail et à toute...
    0
  14. _Agnes
     
    Re !
    Voilà le résultat :
    Logfile of HijackThis v1.99.1
    Scan saved at 17:27:57, on 22/12/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\notepad.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
    C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    C:\Program Files\a-squared\a2guard.exe
    C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Documents and Settings\Thierry\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
    O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cab
    O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - http://www.hotsearchbar.com/toolbar30/hsrb.cab
    O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spamextract.com/sx/SpEx2.102995pur_opt/SpamExtractWebInstall.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{153DC66F-34E7-4579-80A2-BDD2E0451AA8}: NameServer = 194.2.0.20,194.2.0.50
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D8AB9015-AA3A-4545-8BB9-95B9E84F7918}: NameServer = 194.2.0.20,194.2.0.50
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    On dirait que ça va mieux !

    Merci beaucoup :)
    0
    1. Utilisateur anonyme
       
      Salut

      Supprime avec hijackthis ces deux Active X

      O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - hllp://hotsearchbar.com/toolbar2/winhot32.cab
      O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - hllp://www.hotsearchbar.com/toolbar30/hsrb.cab

      Et jete un oeil ici pour voir si tu as les mêmes symptomes:
      http://vil.nai.com/vil/content/v_132009.htm

      a+
      0
      1. _Agnes > Utilisateur anonyme
         
        Ca y'est c'est fait merci !

        Et a priori, l'antivirus se lance au démarrage...
        0
  15. Utilisateur anonyme
     
    Quel est l antivirus?
    0
    1. _Agnes
       
      Norton Corporate Edition
      Mis à jour :)
      0
  16. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Régis

    Clap clap clap !

    Quel talent !!!!!!

    Je conserve précieusement cette manip digne de Machiavel !

    je te laisse avec la demoiselle.

    A++

    0
  17. Utilisateur anonyme
     
    salut incognito

    manip de Jean !

    Par contre il n y a pas d antivirus, la securité laisse a desirer

    a+
    0
  18. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Super, on va bientot avoir encore plein de sales bestioles à destroyer ! lol

    Je t'ai mis un message sur hardware.

    Balaise Mister Jean, dommage qu'il ne passe plus aussi souvent. sniff*

    A++

    0
  19. Utilisateur anonyme
     
    salut
    merci moe, wahou, j avais zappé lol

    Mais norton ne se met pas au demarrage, tu l as enleve?
    0
    1. _Agnes
       
      Non, j'ai rien enlevé
      A part une bonne partie de logiciels malveillants.
      J'enleverai les 2 activex demain et je regarderai pour norton. J'ai même pas fait gaffe qu'il se lancait pas au démarrage..

      Merci beaucoup pour votre aide.
      0
  20. Utilisateur anonyme
     
    Salut Agnes

    ah super !!!
    Tu as d autres soucis?
    Besoin de quelque chose?

    a+
    0
    1. _Agnes
       
      Ben écoute à priori non :)
      Merci beaucoup pour ton aide en tout cas :)
      Bon Noël !
      0
  • 1
  • 2