PROBLEME VIRUS WINFIXER 2005
estelle 69
Messages postés
1
Statut
Membre
-
incognito02 Messages postés 3487 Statut Contributeur -
incognito02 Messages postés 3487 Statut Contributeur -
BONJOUR JE VIENS DE M ACHETER UN NOUVEL ORDI ET J AI MIS INTERNET UNE HEURE APRES J ETAIS ENVAHIE PAR DES VIRUS ET EN PARTICULIER WINFIXER MERCI DE M AIDER JE VOUS JOINS UN BLOC NOTE HIJACKTHIS
Logfile of HijackThis v1.99.1
Scan saved at 21:01:01, on 20/12/2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\YWRtaW5pc3RyYXRvcg\command.exe
C:\WINNT\system32\dskcheck.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\shost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\s3hotkey.exe
C:\WINNT\System32\S3trayhp.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\windows\mrjj.exe
C:\WINNT\System32\scvhost.exe
C:\WINNT\System32\csrs.exe
C:\WINNT\System32\cliske.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\logon.exe
C:\PROGRA~1\FICHIE~1\imoo\imoom.exe
C:\Program Files\WinFixer 2005\uwfx5.exe
C:\WINNT\System32\cliske.exe
C:\Program Files\Fichiers communs\Windows\services32.exe
C:\PROGRA~1\FICHIE~1\imoo\imooa.exe
C:\WINNT\System32\qtzrlffu.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\ssdg.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\System32\qomjh.dll
O2 - BHO: XBTP07618 - {2296428D-C133-4928-B76A-A200FF409572} - C:\PROGRA~1\FREEPR~1\tbu00193\freeprod.dll
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Program Files\E2G\IeBHOs.dll
O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINNT\System32\hgggg.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINNT\System32\pmnol.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\tbu00193\freeprod.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [S3TRAYHP] S3trayhp.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Driv] C:\windows\mrjj.exe
O4 - HKLM\..\Run: [adtech2006] C:\windows\adtech2006a.exe
O4 - HKLM\..\Run: [virD] C:\windows\mrjj.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINNT\System32\algs.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINNT\logon.exe
O4 - HKLM\..\Run: [Services] c:\sko.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINNT\System32\csrs.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\System32\logon.exe
O4 - HKLM\..\Run: [ntdll.dll] C:\WINNT\System32\qtzrlffu.exe
O4 - HKLM\..\Run: [symwsc.exe] C:\ssdg.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-64-616-0000213.exe
O4 - HKCU\..\Run: [cliske] C:\WINNT\System32\cliske.exe
O4 - HKCU\..\Run: [imoo] C:\PROGRA~1\FICHIE~1\imoo\imoom.exe
O4 - HKCU\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\uwfx5.exe /scan
O4 - HKCU\..\Run: [WinFixer2005] "C:\Program Files\WinFixer 2005\uwfx5.exe" /scan
O4 - HKCU\..\RunOnce: [cliske] C:\WINNT\System32\cliske.exe
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\tbu00193\freeprod.dll
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\tbu00193\freeprod.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int12.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload114a.exe
O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/joysaver.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{01545523-FFEA-4D70-AE4E-AAAE5C29E819}: NameServer = 80.118.192.112 80.118.196.42
O17 - HKLM\System\CS1\Services\Tcpip\..\{01545523-FFEA-4D70-AE4E-AAAE5C29E819}: NameServer = 80.118.192.112 80.118.196.42
O20 - Winlogon Notify: hgggg - C:\WINNT\System32\hgggg.dll
O20 - Winlogon Notify: pmnol - C:\WINNT\SYSTEM32\pmnol.dll
O20 - Winlogon Notify: qomjh - C:\WINNT\SYSTEM32\qomjh.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\YWRtaW5pc3RyYXRvcg\command.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe
MERCI D4AVANCE POUR VOTRE AIDE
ESTELLE
Logfile of HijackThis v1.99.1
Scan saved at 21:01:01, on 20/12/2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\YWRtaW5pc3RyYXRvcg\command.exe
C:\WINNT\system32\dskcheck.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\shost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\s3hotkey.exe
C:\WINNT\System32\S3trayhp.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\windows\mrjj.exe
C:\WINNT\System32\scvhost.exe
C:\WINNT\System32\csrs.exe
C:\WINNT\System32\cliske.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\logon.exe
C:\PROGRA~1\FICHIE~1\imoo\imoom.exe
C:\Program Files\WinFixer 2005\uwfx5.exe
C:\WINNT\System32\cliske.exe
C:\Program Files\Fichiers communs\Windows\services32.exe
C:\PROGRA~1\FICHIE~1\imoo\imooa.exe
C:\WINNT\System32\qtzrlffu.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\ssdg.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\System32\qomjh.dll
O2 - BHO: XBTP07618 - {2296428D-C133-4928-B76A-A200FF409572} - C:\PROGRA~1\FREEPR~1\tbu00193\freeprod.dll
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Program Files\E2G\IeBHOs.dll
O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINNT\System32\hgggg.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINNT\System32\pmnol.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\tbu00193\freeprod.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [S3TRAYHP] S3trayhp.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Driv] C:\windows\mrjj.exe
O4 - HKLM\..\Run: [adtech2006] C:\windows\adtech2006a.exe
O4 - HKLM\..\Run: [virD] C:\windows\mrjj.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINNT\System32\algs.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINNT\logon.exe
O4 - HKLM\..\Run: [Services] c:\sko.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINNT\System32\csrs.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\System32\logon.exe
O4 - HKLM\..\Run: [ntdll.dll] C:\WINNT\System32\qtzrlffu.exe
O4 - HKLM\..\Run: [symwsc.exe] C:\ssdg.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [services32] C:\Program Files\Fichiers communs\Windows\mc-64-616-0000213.exe
O4 - HKCU\..\Run: [cliske] C:\WINNT\System32\cliske.exe
O4 - HKCU\..\Run: [imoo] C:\PROGRA~1\FICHIE~1\imoo\imoom.exe
O4 - HKCU\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\uwfx5.exe /scan
O4 - HKCU\..\Run: [WinFixer2005] "C:\Program Files\WinFixer 2005\uwfx5.exe" /scan
O4 - HKCU\..\RunOnce: [cliske] C:\WINNT\System32\cliske.exe
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\tbu00193\freeprod.dll
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\tbu00193\freeprod.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int12.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload114a.exe
O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/joysaver.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{01545523-FFEA-4D70-AE4E-AAAE5C29E819}: NameServer = 80.118.192.112 80.118.196.42
O17 - HKLM\System\CS1\Services\Tcpip\..\{01545523-FFEA-4D70-AE4E-AAAE5C29E819}: NameServer = 80.118.192.112 80.118.196.42
O20 - Winlogon Notify: hgggg - C:\WINNT\System32\hgggg.dll
O20 - Winlogon Notify: pmnol - C:\WINNT\SYSTEM32\pmnol.dll
O20 - Winlogon Notify: qomjh - C:\WINNT\SYSTEM32\qomjh.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\YWRtaW5pc3RyYXRvcg\command.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe
MERCI D4AVANCE POUR VOTRE AIDE
ESTELLE
A voir également:
- PROBLEME VIRUS WINFIXER 2005
- Money 2005 - Télécharger - Comptabilité & Facturation
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
2 réponses
salut
incroyable de se faire infecter a ce point en aussi peu de temps !
supprime ca
C:\PROGRA~1\FICHIE~1\imoo\imoom.exe
C:\Program Files\WinFixer 2005\uwfx5.exe
C:\WINNT\System32\cliske.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINNT\YWRtaW5pc3RyYXRvcg\command.exe
C:\windows\mrjj.exe
C:\WINNT\shost.exe
C:\WINNT\System32\S3trayhp.exe
C:\PROGRA~1\FICHIE~1\imoo\imooa.exe
C:\WINNT\System32\qtzrlffu.exe
fixe ca ensuite et supprime les fichier en gras en gras
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [S3TRAYHP] S3trayhp.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Driv] C:\windows\mrjj.exe
télécharge : process xp ici:
http://www.sysinternals.com/files/procexpnt.zip
decompresse le
Déconnecte toi
Ferme tous les programmes
double clic sur processxp.exe
* Dans la fenêtre principale de processxp double clic sur winlogon.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionne seulement les lignes qui contiennent la dll qomjh.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok
* Dans la fenêtre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionner seulement les lignes qui contiennent la dll qomjh.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok
ensuite tu ouvre la kill box
Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
Démo d utilisation (merci a Balltrap34 pour cette réalisation) :
http://pageperso.aol.fr/balltrap34/killbox.htm
tu colle les dll suspectes et tu les effaces
Comme ceci:
Double clic sur killbox.exe (Pocket Killbox)
- coche: delete on reboot
- Dans "Full Path of File to Delete"
copie et colle:C:\WINNT\SYSTEM32\qomjh.dll
- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES
Laisse le pc redémarrer.
Et après reposte un log HijackThis.
reposte ensuite c'est pas fini !!
incroyable de se faire infecter a ce point en aussi peu de temps !
supprime ca
C:\PROGRA~1\FICHIE~1\imoo\imoom.exe
C:\Program Files\WinFixer 2005\uwfx5.exe
C:\WINNT\System32\cliske.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINNT\YWRtaW5pc3RyYXRvcg\command.exe
C:\windows\mrjj.exe
C:\WINNT\shost.exe
C:\WINNT\System32\S3trayhp.exe
C:\PROGRA~1\FICHIE~1\imoo\imooa.exe
C:\WINNT\System32\qtzrlffu.exe
fixe ca ensuite et supprime les fichier en gras en gras
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem220.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [S3TRAYHP] S3trayhp.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Driv] C:\windows\mrjj.exe
télécharge : process xp ici:
http://www.sysinternals.com/files/procexpnt.zip
decompresse le
Déconnecte toi
Ferme tous les programmes
double clic sur processxp.exe
* Dans la fenêtre principale de processxp double clic sur winlogon.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionne seulement les lignes qui contiennent la dll qomjh.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok
* Dans la fenêtre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionner seulement les lignes qui contiennent la dll qomjh.dll puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok
ensuite tu ouvre la kill box
Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
Démo d utilisation (merci a Balltrap34 pour cette réalisation) :
http://pageperso.aol.fr/balltrap34/killbox.htm
tu colle les dll suspectes et tu les effaces
Comme ceci:
Double clic sur killbox.exe (Pocket Killbox)
- coche: delete on reboot
- Dans "Full Path of File to Delete"
copie et colle:C:\WINNT\SYSTEM32\qomjh.dll
- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES
Laisse le pc redémarrer.
Et après reposte un log HijackThis.
reposte ensuite c'est pas fini !!
Bonjour Estelle,
c'est du suicide : pas d'antivirus, pas de firewall !
Un seul antivirus actif : (plusieurs antivirus cree de gros conflits)
http://www.inoculer.com/gratuits.php3
Note: je te conseillerais Avast
- Un antivirus bien paramétré et mis à jour régulièrement et un scan complet régulier.
+ De temps en temps un scan en ligne (une fois/mois).
Liste scans AV en ligne ici:
http://assiste.free.fr/p/antivirus_gratuits_en_ligne/antivirus_en_ligne.php
- Un firewall
http://www.inoculer.com/firewall5.php3
http://www.firewall-net.com/
http://www.commentcamarche.net/protect/firewall.php3
Note: Je te conseillerais Zone Alarm
- scan régulier avec antispywares à jour.
Dans un premier temps, fait déja tout cela :
Installe un antivirus et un firewall.
telecharge et execute ces antispywares ( pense a les mettre a jour avant de les lancer)
(1) ad-aware version 1.06
(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
***
(2) spybot version 1.4
(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
voir demo d utilisation
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
***
et aussi ceci
(3) CleanUp40.exe
http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
voir demo
http://pageperso.aol.fr/balltrap34/democleanup.htm
***
(4) a2
http://www.emsisoft.net/fr/
penser a le metre a jour avant de scanner le pc
***
ps : un grand merci a balltrap pour les lien :)
(5) Edwido
http://download.ewido.net/ewido-setup.exe
Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour.
Clique sur scanner puis sur scan complet du système.
(6)SmitfraudFix
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
(7) Relance hijackthis et colle le log ici stp.
Bon courage
A+
c'est du suicide : pas d'antivirus, pas de firewall !
Un seul antivirus actif : (plusieurs antivirus cree de gros conflits)
http://www.inoculer.com/gratuits.php3
Note: je te conseillerais Avast
- Un antivirus bien paramétré et mis à jour régulièrement et un scan complet régulier.
+ De temps en temps un scan en ligne (une fois/mois).
Liste scans AV en ligne ici:
http://assiste.free.fr/p/antivirus_gratuits_en_ligne/antivirus_en_ligne.php
- Un firewall
http://www.inoculer.com/firewall5.php3
http://www.firewall-net.com/
http://www.commentcamarche.net/protect/firewall.php3
Note: Je te conseillerais Zone Alarm
- scan régulier avec antispywares à jour.
Dans un premier temps, fait déja tout cela :
Installe un antivirus et un firewall.
telecharge et execute ces antispywares ( pense a les mettre a jour avant de les lancer)
(1) ad-aware version 1.06
(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
***
(2) spybot version 1.4
(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
voir demo d utilisation
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
***
et aussi ceci
(3) CleanUp40.exe
http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
voir demo
http://pageperso.aol.fr/balltrap34/democleanup.htm
***
(4) a2
http://www.emsisoft.net/fr/
penser a le metre a jour avant de scanner le pc
***
ps : un grand merci a balltrap pour les lien :)
(5) Edwido
http://download.ewido.net/ewido-setup.exe
Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour.
Clique sur scanner puis sur scan complet du système.
(6)SmitfraudFix
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
(7) Relance hijackthis et colle le log ici stp.
Bon courage
A+
