[Virus] Infecté par spy sheriff
Résolu
kephas
Messages postés
647
Statut
Membre
-
kephas Messages postés 647 Statut Membre -
kephas Messages postés 647 Statut Membre -
Bonjour,
apres une analyse de spybot et ad aware en mode sans echec, en désactivant la restauration systeme et affichage de tous les dossier, je n'arrive toujouras pas a me débarraser de spy sherif!!
voila mon log hijackthis, si quelqu'un pouvait l'aider!!!
en fait, le pc tourne tres bien en mode sans echec, mais se bloque en mode normal...
je précise aussi que j'avais un pb d'affichage a la suite de ca et qui est réglé!
merci d'avance
KEPHAS
ps, désolé pour le double post, j'avais oublié de demander le suivi des réponses...
Logfile of HijackThis v1.99.1
Scan saved at 21:20:59, on 24/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/abonnes.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [iqqq] c:\stub_113_4_0_4_0.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E91BE0D-551A-4198-B1EA-A4DCF65DEEAD}: NameServer = 213.36.80.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3E91BE0D-551A-4198-B1EA-A4DCF65DEEAD}: NameServer = 213.36.80.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{3E91BE0D-551A-4198-B1EA-A4DCF65DEEAD}: NameServer = 213.36.80.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RjVETUQ\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)
apres une analyse de spybot et ad aware en mode sans echec, en désactivant la restauration systeme et affichage de tous les dossier, je n'arrive toujouras pas a me débarraser de spy sherif!!
voila mon log hijackthis, si quelqu'un pouvait l'aider!!!
en fait, le pc tourne tres bien en mode sans echec, mais se bloque en mode normal...
je précise aussi que j'avais un pb d'affichage a la suite de ca et qui est réglé!
merci d'avance
KEPHAS
ps, désolé pour le double post, j'avais oublié de demander le suivi des réponses...
Logfile of HijackThis v1.99.1
Scan saved at 21:20:59, on 24/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/abonnes.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [iqqq] c:\stub_113_4_0_4_0.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E91BE0D-551A-4198-B1EA-A4DCF65DEEAD}: NameServer = 213.36.80.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3E91BE0D-551A-4198-B1EA-A4DCF65DEEAD}: NameServer = 213.36.80.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{3E91BE0D-551A-4198-B1EA-A4DCF65DEEAD}: NameServer = 213.36.80.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RjVETUQ\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)
A voir également:
- [Virus] Infecté par spy sheriff
- Virus mcafee - Accueil - Piratage
- Spy bot - Télécharger - Antivirus & Antimalwares
- Spy sweeper - Télécharger - Antivirus & Antimalwares
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
8 réponses
bonsoir,
Télécharge ceci (merci a S!RI pour ce petit programme) :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
L'exécuter, puis double-cliquer sur Smitfraudfix.cmd
Choisir l’option 1, il va générer un rapport
Copie-colle ce dernier dans un message sur le forum.
En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php
puis,
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du PC sans t’arrêter
Une fenêtre s’ouvre, tu te déplaces avec les flèches du clavier sur démarrer en mode
sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, redémarre en mode normal, copie-colle le rapport sauvegardé sur le forum.
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
Télécharge ceci (merci a S!RI pour ce petit programme) :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
L'exécuter, puis double-cliquer sur Smitfraudfix.cmd
Choisir l’option 1, il va générer un rapport
Copie-colle ce dernier dans un message sur le forum.
En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php
puis,
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du PC sans t’arrêter
Une fenêtre s’ouvre, tu te déplaces avec les flèches du clavier sur démarrer en mode
sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, redémarre en mode normal, copie-colle le rapport sauvegardé sur le forum.
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
re-
bonne nuit à toi :))
moi ça ne va pas tarder ....
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
bonne nuit à toi :))
moi ça ne va pas tarder ....
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
bonjour, voila, je m'y remet...
alors voila le rapport.
il a été fait en mode sans echec avec prise en charge du réseau, car en mode normal, je ne peux rien faire...
sinon juste pour info, le log hijackthis ne revelle rien de trop mauvais?
bon sinon voila le log de smitfraudfix:
SmitFraudFix v2.15
Rapport fait à 13:06:30,26 le 25/01/2006
Executé à partir de C:\Documents and Settings\JEAN\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\kl.exe PRESENT !
C:\WINDOWS\secure32.html PRESENT !
C:\WINDOWS\toolbar.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\JEAN\Application Data
C:\Documents and Settings\JEAN\Application Data\Install.dat PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
j'ai fait dans la foulée la 2° étapes, et voila le résultat!
SmitFraudFix v2.15
Rapport fait à 13:12:40,51 le 25/01/2006
Executé à partir de C:\Documents and Settings\JEAN\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\kl.exe supprimé
C:\WINDOWS\secure32.html supprimé
C:\WINDOWS\toolbar.exe supprimé
C:\Documents and Settings\JEAN\Application Data\Install.dat supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
je le redémarre tout à l'heure en mode normal et je te tiens au courant
Encore merci
alors voila le rapport.
il a été fait en mode sans echec avec prise en charge du réseau, car en mode normal, je ne peux rien faire...
sinon juste pour info, le log hijackthis ne revelle rien de trop mauvais?
bon sinon voila le log de smitfraudfix:
SmitFraudFix v2.15
Rapport fait à 13:06:30,26 le 25/01/2006
Executé à partir de C:\Documents and Settings\JEAN\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\kl.exe PRESENT !
C:\WINDOWS\secure32.html PRESENT !
C:\WINDOWS\toolbar.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\JEAN\Application Data
C:\Documents and Settings\JEAN\Application Data\Install.dat PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
j'ai fait dans la foulée la 2° étapes, et voila le résultat!
SmitFraudFix v2.15
Rapport fait à 13:12:40,51 le 25/01/2006
Executé à partir de C:\Documents and Settings\JEAN\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\kl.exe supprimé
C:\WINDOWS\secure32.html supprimé
C:\WINDOWS\toolbar.exe supprimé
C:\Documents and Settings\JEAN\Application Data\Install.dat supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
je le redémarre tout à l'heure en mode normal et je te tiens au courant
Encore merci
bonjour, je viens de redémarrer mon pc, et le problème est toujours là.
en fait, le pc démarre bien, mais il se bloque arrivé sur le bureau...
je ne peux rien lancer, pas même le gestionnaire des tâches...
par contre, en mode sans echec, tout va bien...
merci d'avance
en fait, le pc démarre bien, mais il se bloque arrivé sur le bureau...
je ne peux rien lancer, pas même le gestionnaire des tâches...
par contre, en mode sans echec, tout va bien...
merci d'avance
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bonjour,
toujours bon à prendre, smifraud a supprimé spy sheriff
mais il y a autre chose ...
Télécharge Ccleaner ici :
http://www.ccleaner.com/ccdownload.asp
Tutorial ici:
http://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
fais le ménage sur le hd
puis,
Télécharge Edwido ici :
http://download.ewido.net/ewido-setup.exe
Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite".
Clique sur mise à jour.
Clique sur scanner puis sur scan complet du système.
(en mode sans échec "pur" (sans réseau) c'est encore mieux)
ça va certainement améliorer les choses ....
sinon, voilà les fautifs (sur la base du hijackthis) :
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe
c:\stub_113_4_0_4_0.exe
C:\WINDOWS\RjVETUQ\command.exe
donc ....
1) démarrer --> Exécuter --> tu tapes services.msc
Dans la liste, cherche UPS, clique sur "arrêter" , puis désactive ce service
2) Affiche les dossiers système et fichiers cachés :
Ouvrir le poste de travail
- Outils --> Options des dossiers
- Affichage --> zone Paramètres avancés
- Cocher : Afficher le contenu des dossiers système
- Cocher : Afficher les fichiers et dossiers cachés
- Décocher : Masquer les extensions des fichiers dont le type est connu
- Décocher : Masquer les fichiers protégés du système d'exploitation (recommandé)
répondre Oui au message
Clique sur "Appliquer à tous les dossiers"
Clique sur OK
3) recherche et supprime
C:\WINDOWS\RjVETUQ\command.exe <-- ce fichier
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe <-- ce fichier
c:\stub_113_4_0_4_0.exe <-- ce fichier
4) relance Hijackthis, clique sur "do a scan system only"
coches ces lignes, puis clique sur "fix checked"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [iqqq] c:\stub_113_4_0_4_0.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RjVETUQ\command.exe
O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)
Si ces lignes sont présentes .... on est sur un 'vieux' rapport, ça a certainement changé après le passage de smitfraud et ewido...
5) Essaie de redémarrer en mode normal
6) reposte un hijacthis en précisant tes soucis s'il en reste
bon courage
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
toujours bon à prendre, smifraud a supprimé spy sheriff
mais il y a autre chose ...
Télécharge Ccleaner ici :
http://www.ccleaner.com/ccdownload.asp
Tutorial ici:
http://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
fais le ménage sur le hd
puis,
Télécharge Edwido ici :
http://download.ewido.net/ewido-setup.exe
Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite".
Clique sur mise à jour.
Clique sur scanner puis sur scan complet du système.
(en mode sans échec "pur" (sans réseau) c'est encore mieux)
ça va certainement améliorer les choses ....
sinon, voilà les fautifs (sur la base du hijackthis) :
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe
c:\stub_113_4_0_4_0.exe
C:\WINDOWS\RjVETUQ\command.exe
donc ....
1) démarrer --> Exécuter --> tu tapes services.msc
Dans la liste, cherche UPS, clique sur "arrêter" , puis désactive ce service
2) Affiche les dossiers système et fichiers cachés :
Ouvrir le poste de travail
- Outils --> Options des dossiers
- Affichage --> zone Paramètres avancés
- Cocher : Afficher le contenu des dossiers système
- Cocher : Afficher les fichiers et dossiers cachés
- Décocher : Masquer les extensions des fichiers dont le type est connu
- Décocher : Masquer les fichiers protégés du système d'exploitation (recommandé)
répondre Oui au message
Clique sur "Appliquer à tous les dossiers"
Clique sur OK
3) recherche et supprime
C:\WINDOWS\RjVETUQ\command.exe <-- ce fichier
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe <-- ce fichier
c:\stub_113_4_0_4_0.exe <-- ce fichier
4) relance Hijackthis, clique sur "do a scan system only"
coches ces lignes, puis clique sur "fix checked"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [iqqq] c:\stub_113_4_0_4_0.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RjVETUQ\command.exe
O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)
Si ces lignes sont présentes .... on est sur un 'vieux' rapport, ça a certainement changé après le passage de smitfraud et ewido...
5) Essaie de redémarrer en mode normal
6) reposte un hijacthis en précisant tes soucis s'il en reste
bon courage
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
bonjour, voila, j'ai fait ce que tu m'avait prescrit, et voila les résultats:
CCleaner, ok, il a supprimé pas mal de chose!
pour edwido, voila le rapport.
il a supprimé 4 fichier (mis en quarantaine)
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 15:37:28, 26/01/2006
+ Somme de contrôle: B2161FBA
+ Résultats du scan:
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll -> Logger.Agent.jo : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Agent.jo : Nettoyer et sauvegarder
C:\Program Files\Network Monitor\netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a : Nettoyer et sauvegarder
C:\WINDOWS\winsysupd2.exe -> Hijacker.StartPage.ahg : Nettoyer et sauvegarder
::Fin du rapport
ensuite, je ne trouve pas les fichiers que tu me dit de supprimer...
d'ailleur pour ibm00001.exe, je ne l'ai jamais trouvé...
enfin avec hijackthis, je ne trouve pas les lignes dont tu me parles...
je t'ai refait un scan si tu trouves autres choses...
Logfile of HijackThis v1.99.1
Scan saved at 15:51:21, on 26/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E91BE0D-551A-4198-B1EA-A4DCF65DEEAD}: NameServer = 213.36.80.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3E91BE0D-551A-4198-B1EA-A4DCF65DEEAD}: NameServer = 213.36.80.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{3E91BE0D-551A-4198-B1EA-A4DCF65DEEAD}: NameServer = 213.36.80.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
donc après tout ça, j'ai redémarrer le pc en mode normal, et j'ai eu un message comme quoi l'ordinateur allait être arrété, avec un compte à rebours...
comme le virus blaster si je ne me trompe pas...
alors je suis en train de le faire repartir en mode sans echec pour faire une analyse antivirus et on va voir...
voila, j'attend la suite si tu as d'autre chose...
merci d'avance
CCleaner, ok, il a supprimé pas mal de chose!
pour edwido, voila le rapport.
il a supprimé 4 fichier (mis en quarantaine)
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 15:37:28, 26/01/2006
+ Somme de contrôle: B2161FBA
+ Résultats du scan:
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll -> Logger.Agent.jo : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Agent.jo : Nettoyer et sauvegarder
C:\Program Files\Network Monitor\netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a : Nettoyer et sauvegarder
C:\WINDOWS\winsysupd2.exe -> Hijacker.StartPage.ahg : Nettoyer et sauvegarder
::Fin du rapport
ensuite, je ne trouve pas les fichiers que tu me dit de supprimer...
d'ailleur pour ibm00001.exe, je ne l'ai jamais trouvé...
enfin avec hijackthis, je ne trouve pas les lignes dont tu me parles...
je t'ai refait un scan si tu trouves autres choses...
Logfile of HijackThis v1.99.1
Scan saved at 15:51:21, on 26/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E91BE0D-551A-4198-B1EA-A4DCF65DEEAD}: NameServer = 213.36.80.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3E91BE0D-551A-4198-B1EA-A4DCF65DEEAD}: NameServer = 213.36.80.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{3E91BE0D-551A-4198-B1EA-A4DCF65DEEAD}: NameServer = 213.36.80.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
donc après tout ça, j'ai redémarrer le pc en mode normal, et j'ai eu un message comme quoi l'ordinateur allait être arrété, avec un compte à rebours...
comme le virus blaster si je ne me trompe pas...
alors je suis en train de le faire repartir en mode sans echec pour faire une analyse antivirus et on va voir...
voila, j'attend la suite si tu as d'autre chose...
merci d'avance
bonjour,
bon.....
Côté Hijackthis, je ne vois plus rien d'anormal .... c'est déjà ça de gagné :)
tu peux essayer un scan antivirus en ligne ..... comme tu as Avast!, tu peux essayer avec Bitdefender ou Kaspersky voilà les liens :
http://www.bitdefender.fr/bd/site/page.php <-- en bas à gauche
http://assiste.free.fr/p/antivirus_gratuits_en_ligne/antivirus_en_ligne.php
ici tu les as tous ou presque :))
Au-delà de ça, il faut envisager un problème "hard" .... barrette mémoire défaillante par ex.
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
bon.....
Côté Hijackthis, je ne vois plus rien d'anormal .... c'est déjà ça de gagné :)
tu peux essayer un scan antivirus en ligne ..... comme tu as Avast!, tu peux essayer avec Bitdefender ou Kaspersky voilà les liens :
http://www.bitdefender.fr/bd/site/page.php <-- en bas à gauche
http://assiste.free.fr/p/antivirus_gratuits_en_ligne/antivirus_en_ligne.php
ici tu les as tous ou presque :))
Au-delà de ça, il faut envisager un problème "hard" .... barrette mémoire défaillante par ex.
-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur
salut et merci de m'avoir aidé.
en effet le systeme fonctionnait, mais j'avais toujours ce message d'erreur, comme quoi le systeme "services.msc" ne s'était pas arreter correctement et que mon systeme allait s'éteindre...
apres avoir fait 3 anlyse antivirus différentes sans rien trouvé, je pense que le mieux est de le réinstaller...
d'autant que je suis sur que ce n'est pas un probleme materielle, car tout fonctionnait parfaitement avant l'ouverture de se fichier...
donc encore merci pour ton aide
a la prochaine
en effet le systeme fonctionnait, mais j'avais toujours ce message d'erreur, comme quoi le systeme "services.msc" ne s'était pas arreter correctement et que mon systeme allait s'éteindre...
apres avoir fait 3 anlyse antivirus différentes sans rien trouvé, je pense que le mieux est de le réinstaller...
d'autant que je suis sur que ce n'est pas un probleme materielle, car tout fonctionnait parfaitement avant l'ouverture de se fichier...
donc encore merci pour ton aide
a la prochaine
merci
bonne nuit ou bonne veille!