Analyse log Hijack This
Résolu/Fermé
A voir également:
- Analyse log Hijack This
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Analyse performance pc - Guide
- Analyse composant pc - Guide
- Analyse composant pc en ligne - Guide
- Échec de l'analyse antivirus - Forum Antivirus
23 réponses
incognito02
Messages postés
3487
Date d'inscription
vendredi 28 octobre 2005
Statut
Contributeur
Dernière intervention
17 août 2008
138
22 déc. 2005 à 13:48
22 déc. 2005 à 13:48
Bonjour Agnès...
Tous les cadors sont au sport d'hiver, mais je vais essayé de t'aider un chti pneu !
Lance HijackThis:
clique sur "do a system scan only"
* Cocher la case au début de ces lignes:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
* Valider avec fix checked
O4 - HKLM\..\Run: [wtqlxiv] c:\windows\system32\czjpqlc.exe
O4 - HKLM\..\Run: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe
O4 - HKLM\..\Run: [byjkoa] C:\WINDOWS\system32\qirgdf.exe r
O4 - HKLM\..\RunServices: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe
O4 - HKCU\..\Run: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)
Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as télécharger avant)
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage
Coche « afficher les fichiers et dossiers cachés »
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.
Et appliquer !
ensuite,Recherche et supprime ceci:
attention seulement les fichiers (si présents).
c:\windows\system32\czjpqlc.exe
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe
C:\WINDOWS\system32\qirgdf.exe
Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
----------------------------------------------------------------------------
¤ Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
----------------------------------------------------------------------------
¤ Vide ta Corbeille.
----------------------------------------------------------------------------
¤ Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum.
Bon courage.
A+
Tous les cadors sont au sport d'hiver, mais je vais essayé de t'aider un chti pneu !
Lance HijackThis:
clique sur "do a system scan only"
* Cocher la case au début de ces lignes:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
* Valider avec fix checked
O4 - HKLM\..\Run: [wtqlxiv] c:\windows\system32\czjpqlc.exe
O4 - HKLM\..\Run: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe
O4 - HKLM\..\Run: [byjkoa] C:\WINDOWS\system32\qirgdf.exe r
O4 - HKLM\..\RunServices: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe
O4 - HKCU\..\Run: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)
Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as télécharger avant)
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage
Coche « afficher les fichiers et dossiers cachés »
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.
Et appliquer !
ensuite,Recherche et supprime ceci:
attention seulement les fichiers (si présents).
c:\windows\system32\czjpqlc.exe
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe
C:\WINDOWS\system32\qirgdf.exe
Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
----------------------------------------------------------------------------
¤ Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
----------------------------------------------------------------------------
¤ Vide ta Corbeille.
----------------------------------------------------------------------------
¤ Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum.
Bon courage.
A+
Utilisateur anonyme
22 déc. 2005 à 14:34
22 déc. 2005 à 14:34
Salut :)
Merci pour ta réponse. Juste une question, quand tu me dis de lancer Hjackthis et de faire les corrections, faut le faire en mode sans échec ou pas ?
Merci pour ta réponse. Juste une question, quand tu me dis de lancer Hjackthis et de faire les corrections, faut le faire en mode sans échec ou pas ?
incognito02
Messages postés
3487
Date d'inscription
vendredi 28 octobre 2005
Statut
Contributeur
Dernière intervention
17 août 2008
138
22 déc. 2005 à 14:37
22 déc. 2005 à 14:37
Agnès,
Pour la première partie en mode normal.
Relis bien ma première réponse.
Bon courage. :-))
A bientôt.
Nobody is perfect, mais j'essaye .....
Pour la première partie en mode normal.
Relis bien ma première réponse.
Bon courage. :-))
A bientôt.
Nobody is perfect, mais j'essaye .....
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
22 déc. 2005 à 15:12
22 déc. 2005 à 15:12
Re salut :)
J'ai bien fait tout ce que tu m'as dit
Voilà le log HijackThis qui en ressort :
Logfile of HijackThis v1.99.1
Scan saved at 15:09:48, on 22/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\glcfzjt.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Documents and Settings\Thierry\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3E4563A4-2A9B-4912-BE38-906A0CB702CC} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ohb - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\system32\nsf4E.dll
O2 - BHO: Scriptlet.Tools - {EEBA788A-C268-492A-B7FE-42C2B6C553D4} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bin\bin.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [akyhmqo] C:\WINDOWS\system32\glcfzjt.exe r
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cab
O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - http://www.hotsearchbar.com/toolbar30/hsrb.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spamextract.com/sx/SpEx2.102995pur_opt/SpamExtractWebInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{153DC66F-34E7-4579-80A2-BDD2E0451AA8}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8AB9015-AA3A-4545-8BB9-95B9E84F7918}: NameServer = 194.2.0.20,194.2.0.50
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci :)
J'ai bien fait tout ce que tu m'as dit
Voilà le log HijackThis qui en ressort :
Logfile of HijackThis v1.99.1
Scan saved at 15:09:48, on 22/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\glcfzjt.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Documents and Settings\Thierry\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3E4563A4-2A9B-4912-BE38-906A0CB702CC} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ohb - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\system32\nsf4E.dll
O2 - BHO: Scriptlet.Tools - {EEBA788A-C268-492A-B7FE-42C2B6C553D4} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bin\bin.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [akyhmqo] C:\WINDOWS\system32\glcfzjt.exe r
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cab
O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - http://www.hotsearchbar.com/toolbar30/hsrb.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spamextract.com/sx/SpEx2.102995pur_opt/SpamExtractWebInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{153DC66F-34E7-4579-80A2-BDD2E0451AA8}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8AB9015-AA3A-4545-8BB9-95B9E84F7918}: NameServer = 194.2.0.20,194.2.0.50
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci :)
incognito02
Messages postés
3487
Date d'inscription
vendredi 28 octobre 2005
Statut
Contributeur
Dernière intervention
17 août 2008
138
22 déc. 2005 à 16:12
22 déc. 2005 à 16:12
Y'a une bestiole qui s'accroche ! et ce n'est pas un morpion !
Oups excuses moi, je déraille par moment.
On va essayer ça pour le destroyer :
salut
Télécharge lopxp ici:
http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)
2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici
A+
Oups excuses moi, je déraille par moment.
On va essayer ça pour le destroyer :
salut
Télécharge lopxp ici:
http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)
2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici
A+
Utilisateur anonyme
22 déc. 2005 à 16:18
22 déc. 2005 à 16:18
:)
Je commence à craquer aussi !!!
Y'a une fenêtre "Best Offers" qui s'affiche tout le temps ca me gonfle :)
Voilà le rapport :)
Et encore merci pour ton aide !
Rapport fait à 16:16:30,93 le 22/12/2005
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4029-13DD
R‚pertoire de C:\Documents and Settings\Default User\Application Data
08/03/2004 13:31 62 desktop.ini
08/03/2004 13:30 <REP> Microsoft
08/03/2004 13:30 <REP> ..
08/03/2004 13:30 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 54977003520 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4029-13DD
R‚pertoire de C:\Documents and Settings\All Users\Application Data
22/12/2005 10:34 <REP> Spybot - Search & Destroy
24/11/2005 12:17 <REP> UDL
27/09/2005 09:49 <REP> Bin
05/09/2005 10:25 <REP> Tools
08/04/2005 13:47 <REP> Skype
12/07/2004 11:08 <REP> QuickTime
08/03/2004 13:57 <REP> Symantec
08/03/2004 13:31 62 desktop.ini
08/03/2004 13:30 <REP> Microsoft
08/03/2004 13:30 <REP> .
08/03/2004 13:30 <REP> ..
1 fichier(s) 62 octets
10 R‚p(s) 54977003520 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4029-13DD
R‚pertoire de C:\Documents and Settings\Thierry\Application Data
22/12/2005 12:53 <REP> Sun
22/12/2005 10:33 <REP> Mozilla
09/12/2005 18:12 <REP> Nokia
09/12/2005 18:12 <REP> Datalayer
15/09/2005 14:32 <REP> Lavasoft
18/05/2005 16:51 <REP> Yahoo!
08/04/2005 13:47 <REP> Skype
08/04/2005 13:10 <REP> SpamExtract
28/07/2004 11:47 <REP> InterTrust
15/06/2004 14:34 <REP> Help
15/04/2004 12:28 <REP> K9
08/03/2004 15:09 <REP> Adobe
08/03/2004 14:58 <REP> Macromedia
08/03/2004 14:18 26492 Valeurs s‚par‚es par des virgules (Windows).ADR
08/03/2004 14:05 <REP> Microsoft Web Folders
08/03/2004 13:45 <REP> Identities
08/03/2004 13:45 62 desktop.ini
08/03/2004 13:45 <REP> Microsoft
08/03/2004 13:45 <REP> .
08/03/2004 13:45 <REP> ..
2 fichier(s) 26554 octets
18 R‚p(s) 54977003520 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4029-13DD
R‚pertoire de C:\WINDOWS\Tasks
22/12/2005 11:15 332 Spybot - Search & Destroy - Scheduled Task.job
08/03/2004 13:39 6 SA.DAT
08/03/2004 13:37 65 desktop.ini
01/01/1980 00:00 <REP> ..
01/01/1980 00:00 <REP> .
3 fichier(s) 403 octets
2 R‚p(s) 54ÿ977ÿ003ÿ520 octets libres
******************************************
Recherche dans Program files
Le dossier C:\Program Files\C2Media n'existe pas
*************** Fin du rapport ****************
Je commence à craquer aussi !!!
Y'a une fenêtre "Best Offers" qui s'affiche tout le temps ca me gonfle :)
Voilà le rapport :)
Et encore merci pour ton aide !
Rapport fait à 16:16:30,93 le 22/12/2005
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4029-13DD
R‚pertoire de C:\Documents and Settings\Default User\Application Data
08/03/2004 13:31 62 desktop.ini
08/03/2004 13:30 <REP> Microsoft
08/03/2004 13:30 <REP> ..
08/03/2004 13:30 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 54977003520 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4029-13DD
R‚pertoire de C:\Documents and Settings\All Users\Application Data
22/12/2005 10:34 <REP> Spybot - Search & Destroy
24/11/2005 12:17 <REP> UDL
27/09/2005 09:49 <REP> Bin
05/09/2005 10:25 <REP> Tools
08/04/2005 13:47 <REP> Skype
12/07/2004 11:08 <REP> QuickTime
08/03/2004 13:57 <REP> Symantec
08/03/2004 13:31 62 desktop.ini
08/03/2004 13:30 <REP> Microsoft
08/03/2004 13:30 <REP> .
08/03/2004 13:30 <REP> ..
1 fichier(s) 62 octets
10 R‚p(s) 54977003520 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4029-13DD
R‚pertoire de C:\Documents and Settings\Thierry\Application Data
22/12/2005 12:53 <REP> Sun
22/12/2005 10:33 <REP> Mozilla
09/12/2005 18:12 <REP> Nokia
09/12/2005 18:12 <REP> Datalayer
15/09/2005 14:32 <REP> Lavasoft
18/05/2005 16:51 <REP> Yahoo!
08/04/2005 13:47 <REP> Skype
08/04/2005 13:10 <REP> SpamExtract
28/07/2004 11:47 <REP> InterTrust
15/06/2004 14:34 <REP> Help
15/04/2004 12:28 <REP> K9
08/03/2004 15:09 <REP> Adobe
08/03/2004 14:58 <REP> Macromedia
08/03/2004 14:18 26492 Valeurs s‚par‚es par des virgules (Windows).ADR
08/03/2004 14:05 <REP> Microsoft Web Folders
08/03/2004 13:45 <REP> Identities
08/03/2004 13:45 62 desktop.ini
08/03/2004 13:45 <REP> Microsoft
08/03/2004 13:45 <REP> .
08/03/2004 13:45 <REP> ..
2 fichier(s) 26554 octets
18 R‚p(s) 54977003520 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4029-13DD
R‚pertoire de C:\WINDOWS\Tasks
22/12/2005 11:15 332 Spybot - Search & Destroy - Scheduled Task.job
08/03/2004 13:39 6 SA.DAT
08/03/2004 13:37 65 desktop.ini
01/01/1980 00:00 <REP> ..
01/01/1980 00:00 <REP> .
3 fichier(s) 403 octets
2 R‚p(s) 54ÿ977ÿ003ÿ520 octets libres
******************************************
Recherche dans Program files
Le dossier C:\Program Files\C2Media n'existe pas
*************** Fin du rapport ****************
incognito02
Messages postés
3487
Date d'inscription
vendredi 28 octobre 2005
Statut
Contributeur
Dernière intervention
17 août 2008
138
22 déc. 2005 à 16:25
22 déc. 2005 à 16:25
Arghhh Sa..... de nail.exe !!
Crées un fichier avec le bloc note et colle ce texte dedans :
ECHO OFF
cd\windows
Nail.exe /FULLREMOVE
sc config SvcProc start= disabled
sc stop SvcProc
sc delete SvcProc
attrib -s -r -h nail.exe
attrib -s -r -h svcproc.exe
del nail.exe
del svcproc.exe
exit
Enregistre le fichier sur ton bureau sous le nom remove.bat en séllectionnant "all" dans type de fichier
----
Redémarre en mode sans échec (session administrateur si possible), (en tapotant F8 au démarrage).
---
Double-clic sur remove.bat. Une fenêtre devrait s'ouvrir et se fermer très rapidement --- c'est normale.
---
Redemarre en mode normal, et relance hijackthis et post le log ici stp.
A+
Crées un fichier avec le bloc note et colle ce texte dedans :
ECHO OFF
cd\windows
Nail.exe /FULLREMOVE
sc config SvcProc start= disabled
sc stop SvcProc
sc delete SvcProc
attrib -s -r -h nail.exe
attrib -s -r -h svcproc.exe
del nail.exe
del svcproc.exe
exit
Enregistre le fichier sur ton bureau sous le nom remove.bat en séllectionnant "all" dans type de fichier
----
Redémarre en mode sans échec (session administrateur si possible), (en tapotant F8 au démarrage).
---
Double-clic sur remove.bat. Une fenêtre devrait s'ouvrir et se fermer très rapidement --- c'est normale.
---
Redemarre en mode normal, et relance hijackthis et post le log ici stp.
A+
incognito02
Messages postés
3487
Date d'inscription
vendredi 28 octobre 2005
Statut
Contributeur
Dernière intervention
17 août 2008
138
22 déc. 2005 à 16:36
22 déc. 2005 à 16:36
Ah oui oui oui !
le Big Chef à l'oeuvre, je veux voir ça ! miam miam !!!!
Planquez vous ça va barder !!!!
Agnès une moderatrice - contributrice avec un profil aussi pauvre, tu n'as pas honte ! lol
A+++
le Big Chef à l'oeuvre, je veux voir ça ! miam miam !!!!
Planquez vous ça va barder !!!!
Agnès une moderatrice - contributrice avec un profil aussi pauvre, tu n'as pas honte ! lol
A+++
Utilisateur anonyme
22 déc. 2005 à 16:53
22 déc. 2005 à 16:53
C'est encore moi :)
Bon ben à priori, ce pu**** de Nail.exe est toujours là :(
Je vais pleurer :(
Logfile of HijackThis v1.99.1
Scan saved at 16:51:03, on 22/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\gyapjer.exe
C:\Program Files\a-squared\a2guard.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Documents and Settings\Thierry\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ohb - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\system32\nsf4E.dll
O2 - BHO: Scriptlet.Tools - {EEBA788A-C268-492A-B7FE-42C2B6C553D4} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bin\bin.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [tynsmr] C:\WINDOWS\system32\gyapjer.exe r
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cab
O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - http://www.hotsearchbar.com/toolbar30/hsrb.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spamextract.com/sx/SpEx2.102995pur_opt/SpamExtractWebInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{153DC66F-34E7-4579-80A2-BDD2E0451AA8}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8AB9015-AA3A-4545-8BB9-95B9E84F7918}: NameServer = 194.2.0.20,194.2.0.50
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci pour votre aide Messieurs !
Bon ben à priori, ce pu**** de Nail.exe est toujours là :(
Je vais pleurer :(
Logfile of HijackThis v1.99.1
Scan saved at 16:51:03, on 22/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\gyapjer.exe
C:\Program Files\a-squared\a2guard.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Documents and Settings\Thierry\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ohb - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\system32\nsf4E.dll
O2 - BHO: Scriptlet.Tools - {EEBA788A-C268-492A-B7FE-42C2B6C553D4} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bin\bin.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [tynsmr] C:\WINDOWS\system32\gyapjer.exe r
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cab
O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - http://www.hotsearchbar.com/toolbar30/hsrb.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spamextract.com/sx/SpEx2.102995pur_opt/SpamExtractWebInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{153DC66F-34E7-4579-80A2-BDD2E0451AA8}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8AB9015-AA3A-4545-8BB9-95B9E84F7918}: NameServer = 194.2.0.20,194.2.0.50
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Merci pour votre aide Messieurs !
Utilisateur anonyme
22 déc. 2005 à 17:03
22 déc. 2005 à 17:03
re,
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage
Coche « afficher les fichiers et dossiers cachés »
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.
Et appliquer !
----------------------------------------------------------------------------
deja commence par supprimer ce spyware:
Fixe ceci:
O2 - BHO: ohb - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\system32\nsf4E.dll
O2 - BHO: Scriptlet.Tools - {EEBA788A-C268-492A-B7FE-42C2B6C553D4} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bin\bin.dll
----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si présents).
C:\document and setting\ALLUSER\APPLICATION AND DATA\Bin
C:\document and setting\ALLUSER\APPLICATION AND DATA\Tools
C:\ProgramFiles\Lycos
Alors pour la suite, imprime ce poste car la manip est longue et il faut beaucoup de rigueur.
IMPORTANT:
ne pas laisser redémarrer l'ordi en mode normal entre chaque manip. (Au risque de repartir à zéro).
2) télécharge ceci
1/LM2FIX
http://www.downloads.subratam.org/l2mfix.exe
2/clean up
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm
Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
regarde la vidéo sur l’utilisation avec le block note, on va s’en servir plus tard:
http://pageperso.aol.fr/balltrap34/killbox.htm
mais ne fais rien de plus.
► assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer
► vide tes fichiers temps et tempory internet file sur tous les utilisateur
utilise ceci pour le faire
♪http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
4) Lance L2mfix
décompresse le double click sur l2mfix.bat appuie sur n importe quelle touche et ensuite choisi l option 2
à la fin le programme devrait redémarrer ton système, des le lancement du bios, tapote sur la touche F8 afin de basculer en mode sans échec (attention c’est Tres important)
5) Killbox
1- Double-clic sur KillBox.exe
2- ouvre le bloc notes et copie la liste en gras ci-dessous
3- Sélectionne "Delete on Reboot"
4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier
5- revient sur killbox, et dans le menu du haut clic sur File, puis sur paste from clipboard
5- clic sur le rond rouge
6- une fenêtre va apparaître pour confirmation clic sur OUI
7- une seconde fenêtre te demande si tu veux redémarrer clic sur OUI
liste
C:\WINDOWS\Nail.exe
C:\WINDOWS\system32\gyapjer.exe r
quand killbox redémarre le pc, appuie immédiatement sur F8, pour passer en mode sans échec (tu ne dois pas revenir en mode normal des que tu as fait lm2fix pour la premiere fois, toujours etre en mode sans echec)
6) lance Hijackthis et fixe :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [tynsmr] C:\WINDOWS\system32\gyapjer.exe r
8) repasse l2mfix option 2, laisse redémarrer normalement et refait un log Hijack
bon travail et à toute...
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage
Coche « afficher les fichiers et dossiers cachés »
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.
Et appliquer !
----------------------------------------------------------------------------
deja commence par supprimer ce spyware:
Fixe ceci:
O2 - BHO: ohb - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\system32\nsf4E.dll
O2 - BHO: Scriptlet.Tools - {EEBA788A-C268-492A-B7FE-42C2B6C553D4} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bin\bin.dll
----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si présents).
C:\document and setting\ALLUSER\APPLICATION AND DATA\Bin
C:\document and setting\ALLUSER\APPLICATION AND DATA\Tools
C:\ProgramFiles\Lycos
Alors pour la suite, imprime ce poste car la manip est longue et il faut beaucoup de rigueur.
IMPORTANT:
ne pas laisser redémarrer l'ordi en mode normal entre chaque manip. (Au risque de repartir à zéro).
2) télécharge ceci
1/LM2FIX
http://www.downloads.subratam.org/l2mfix.exe
2/clean up
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm
Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
regarde la vidéo sur l’utilisation avec le block note, on va s’en servir plus tard:
http://pageperso.aol.fr/balltrap34/killbox.htm
mais ne fais rien de plus.
► assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer
► vide tes fichiers temps et tempory internet file sur tous les utilisateur
utilise ceci pour le faire
♪http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
4) Lance L2mfix
décompresse le double click sur l2mfix.bat appuie sur n importe quelle touche et ensuite choisi l option 2
à la fin le programme devrait redémarrer ton système, des le lancement du bios, tapote sur la touche F8 afin de basculer en mode sans échec (attention c’est Tres important)
5) Killbox
1- Double-clic sur KillBox.exe
2- ouvre le bloc notes et copie la liste en gras ci-dessous
3- Sélectionne "Delete on Reboot"
4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier
5- revient sur killbox, et dans le menu du haut clic sur File, puis sur paste from clipboard
5- clic sur le rond rouge
6- une fenêtre va apparaître pour confirmation clic sur OUI
7- une seconde fenêtre te demande si tu veux redémarrer clic sur OUI
liste
C:\WINDOWS\Nail.exe
C:\WINDOWS\system32\gyapjer.exe r
quand killbox redémarre le pc, appuie immédiatement sur F8, pour passer en mode sans échec (tu ne dois pas revenir en mode normal des que tu as fait lm2fix pour la premiere fois, toujours etre en mode sans echec)
6) lance Hijackthis et fixe :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [tynsmr] C:\WINDOWS\system32\gyapjer.exe r
8) repasse l2mfix option 2, laisse redémarrer normalement et refait un log Hijack
bon travail et à toute...
Utilisateur anonyme
22 déc. 2005 à 17:30
22 déc. 2005 à 17:30
Re !
Voilà le résultat :
Logfile of HijackThis v1.99.1
Scan saved at 17:27:57, on 22/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\a-squared\a2guard.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Documents and Settings\Thierry\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cab
O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - http://www.hotsearchbar.com/toolbar30/hsrb.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spamextract.com/sx/SpEx2.102995pur_opt/SpamExtractWebInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{153DC66F-34E7-4579-80A2-BDD2E0451AA8}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8AB9015-AA3A-4545-8BB9-95B9E84F7918}: NameServer = 194.2.0.20,194.2.0.50
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
On dirait que ça va mieux !
Merci beaucoup :)
Voilà le résultat :
Logfile of HijackThis v1.99.1
Scan saved at 17:27:57, on 22/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\a-squared\a2guard.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Documents and Settings\Thierry\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cab
O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - http://www.hotsearchbar.com/toolbar30/hsrb.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spamextract.com/sx/SpEx2.102995pur_opt/SpamExtractWebInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{153DC66F-34E7-4579-80A2-BDD2E0451AA8}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8AB9015-AA3A-4545-8BB9-95B9E84F7918}: NameServer = 194.2.0.20,194.2.0.50
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
On dirait que ça va mieux !
Merci beaucoup :)
Salut
Supprime avec hijackthis ces deux Active X
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - hllp://hotsearchbar.com/toolbar2/winhot32.cab
O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - hllp://www.hotsearchbar.com/toolbar30/hsrb.cab
Et jete un oeil ici pour voir si tu as les mêmes symptomes:
http://vil.nai.com/vil/content/v_132009.htm
a+
Supprime avec hijackthis ces deux Active X
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - hllp://hotsearchbar.com/toolbar2/winhot32.cab
O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - hllp://www.hotsearchbar.com/toolbar30/hsrb.cab
Et jete un oeil ici pour voir si tu as les mêmes symptomes:
http://vil.nai.com/vil/content/v_132009.htm
a+
incognito02
Messages postés
3487
Date d'inscription
vendredi 28 octobre 2005
Statut
Contributeur
Dernière intervention
17 août 2008
138
22 déc. 2005 à 17:58
22 déc. 2005 à 17:58
Régis
Clap clap clap !
Quel talent !!!!!!
Je conserve précieusement cette manip digne de Machiavel !
je te laisse avec la demoiselle.
A++
Clap clap clap !
Quel talent !!!!!!
Je conserve précieusement cette manip digne de Machiavel !
je te laisse avec la demoiselle.
A++
Utilisateur anonyme
22 déc. 2005 à 18:43
22 déc. 2005 à 18:43
salut incognito
manip de Jean !
Par contre il n y a pas d antivirus, la securité laisse a desirer
a+
manip de Jean !
Par contre il n y a pas d antivirus, la securité laisse a desirer
a+
incognito02
Messages postés
3487
Date d'inscription
vendredi 28 octobre 2005
Statut
Contributeur
Dernière intervention
17 août 2008
138
22 déc. 2005 à 18:45
22 déc. 2005 à 18:45
Super, on va bientot avoir encore plein de sales bestioles à destroyer ! lol
Je t'ai mis un message sur hardware.
Balaise Mister Jean, dommage qu'il ne passe plus aussi souvent. sniff*
A++
Je t'ai mis un message sur hardware.
Balaise Mister Jean, dommage qu'il ne passe plus aussi souvent. sniff*
A++
Utilisateur anonyme
22 déc. 2005 à 20:35
22 déc. 2005 à 20:35
salut
merci moe, wahou, j avais zappé lol
Mais norton ne se met pas au demarrage, tu l as enleve?
merci moe, wahou, j avais zappé lol
Mais norton ne se met pas au demarrage, tu l as enleve?
Utilisateur anonyme
23 déc. 2005 à 10:59
23 déc. 2005 à 10:59
Salut Agnes
ah super !!!
Tu as d autres soucis?
Besoin de quelque chose?
a+
ah super !!!
Tu as d autres soucis?
Besoin de quelque chose?
a+