Sujet Précédent Sujet Suivant

[Virus] perdu accès gestionnaire des taches

Fermé
Jonathan - 7 nov. 2006 à 02:10
 florian - 4 juin 2008 à 08:18
Bonjour a vous tous!!!
Je suis pris avec un ou plusieurs virus dans mon ordinateur que mon anti-virus (Freedom) semble parfois voir mais ne peut réparer. Les symptomes sont les suivant :

-Je n'ai plu accès a mon gestionnaire des taches Alt+Ctrl+Del
-J'ai une icon rouge avec un X constament a coté de mon horloge qui me dis Your Computer Is Infect
-J'ai des sons de pop-up au 30 secondes
-Des pages d'anti-virus surement bidons apparaisse quand je navigue sur le web
-J'ai très souvent des pages supplémentaires qui apparraissent quand je vais sur des pages connus ... et l'addresse écrit About:blank

J'ai lu dans le forum et j'ai cru voir que ceux qui parlais du virus Kernels8 semblais avoir les memes problemes que moi ....sauf que j ai aussi des virus tels que Win1f.tmp.exe ou win20.tmp.exe. J'ai cru comprendre que pour facilité votre travail, je dois vous envoyé un log que j'ai fait avec Hijackthis donc voici:

Logfile of HijackThis v1.99.1
Scan saved at 19:59:36, on 2006-11-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\winstall.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Command Software\dvpapi.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\DEATHT~1\LOCALS~1\Temp\Rar$EX00.406\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://showbizz.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Ink Monitor] C:\Program Files\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [EPSON Stylus CX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADA.EXE /P26 "EPSON Stylus CX4800 Series" /O6 "USB001" /M "Stylus CX4800"
O4 - HKLM\..\Run: [Freedom] C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels8.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O17 - HKLM\System\CCS\Services\Tcpip\..\{01147B10-9397-4E36-AF6D-4BFF6A0621F3}: NameServer = 85.255.114.85,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C3005F1-0343-4482-87AA-6CE292764DD1}: NameServer = 85.255.114.85,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{41C7DC82-988D-428E-B632-032EF98F4D55}: NameServer = 85.255.114.85,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{7773D307-4992-4ADB-8A1B-153B4A234303}: NameServer = 85.255.114.85,85.255.112.213
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.85 85.255.112.213
O17 - HKLM\System\CS1\Services\Tcpip\..\{01147B10-9397-4E36-AF6D-4BFF6A0621F3}: NameServer = 85.255.114.85,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.85 85.255.112.213
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\system32\CTsvcCDA.exe (file missing)
O23 - Service: DvpApi (dvpapi) - Command Software Systems, Inc. - C:\Program Files\Fichiers communs\Command Software\dvpapi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

Aussi, j'aimerai en meme temps savoir pourquoi quand je suis sur le net et que je click sur des liens qui sont peut-etre mort, cela me mene a une recherche sur google ou des sites de recherches que je ne connais pas et qui ne m'interesse pas... ou des pubs d'anti-virus douteux. Mais surtout, j'aimerai savoir, POURQUOI LE GENS FONT DES VIRUS :(

Merci infiniment a l'avance pour votre aide, j'espère que cela va m'aider pour maintenant mais aussi a l'avenir :)


Jonathan
A voir également:

9 réponses

Réponse 1 / 9
Utilisateur anonyme
7 nov. 2006 à 02:15
Salut Jo

Télécharge le FixWareout
https://www.bleepingcomputer.com/download/linux/

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.
Colle ici le rapport qui sera créée stp
0
Réponse 2 / 9
Jonathan
7 nov. 2006 à 02:34
Premièrement merci pour la réponse rapide!
J'ai fais ce que tu m'as demandé et voici ce que ca m'a donné:

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8AB4B9BEE998-761B-9DD4-F8C4-60D807A0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}90E0E251DEE2-02CA-3CD4-630D-1C3B66D2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\nvfmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmfvn.exe"=-
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSFKM.EXE 51 735 2006-10-21
C:\WINDOWS\SYSTEM32\DMFVN.EXE 60 959 2005-07-05
C:\WINDOWS\SYSTEM32\DMVLZ.EXE 60 959 2005-07-05

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

J'ai une question.. qu'est ce que ces programmes font et qu'est ce que tu cherches dans ses logs !? J'attend la suite :) merci encore

P.s. j'ai remarqué que mes programmes comme MSN et Skype semble dé-configurer et non-opérationnel depuis l'apparition des virus


Jonathan
0
Réponse 3 / 9
Utilisateur anonyme
7 nov. 2006 à 02:47
Bien ! merci

Télécharge SmitfraudFix (enregistre le sur le "bureau")
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

décompresse SmitfraudFix
Lance le fichier SmitfraudFix ou SmitfraudFix.cmd et choisis l option 1 copie le rapport ici stp



PS: si ton anti-virus bronche désactive le pour accepter le programme
0
Réponse 4 / 9
Jonathan
7 nov. 2006 à 03:16
Présentement je suis en mode sans échec car en dirait que le programme pour ma carte vidéo ATI déconne au démarrage mais peu importe... voici ce que ca m'a donné

SmitFraudFix v2.119

Rapport fait à 21:13:11,98, 2006-11-06
Executé à partir de C:\Documents and Settings\Deathtones\Bureau\Nouveau dossier (2)\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\winstall.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\wupdmgr.exe PRESENT !
C:\WINDOWS\xpupdate.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\dlh9jkdq?.exe PRESENT !
C:\WINDOWS\system32\kernels8.exe PRESENT !
C:\WINDOWS\system32\qvxgamet?.exe PRESENT !
C:\WINDOWS\system32\sysvx.exe PRESENT !
C:\WINDOWS\system32\taskdir.exe PRESENT !
C:\WINDOWS\system32\taskdir~.exe PRESENT !
C:\WINDOWS\system32\vxgame?.exe PRESENT !
C:\WINDOWS\system32\vxgamet?.exe PRESENT !
C:\WINDOWS\system32\zlbw.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Deathtones


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Deathtones\Application Data

C:\Documents and Settings\Deathtones\Application Data\Install.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\DEATHT~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\SpySheriff\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

pe386 détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
Utilisateur anonyme
7 nov. 2006 à 06:18
relance smitfraudfix choisis l'option 2 et répond oui à tout, à faire en mode sans echec puis remet un rapport hijackthis stp
0
Réponse 6 / 9
Jonathan
8 nov. 2006 à 18:24
Salut, désoler pour le temps. Par désespoir, j'ai formater mon C: a l'aide du cd Windows... j'ai ré-installer mes drivers et tout mais aussitot que j'ai installé mon anti-virus.. il a détecté encore des trucs que je n'ai pu effacer tels que taskdir, adirss, image1.gif.exe. vraiment étrange. surtout ... on dirait que quand je click sur le unpack exemple de mon anti-virus ou le .zip de hijackthis... l'ordi crée des fichiers douteux comme sl3V7Rn.exe ou vFIo6EW.exe dans les meme dossiers... ce qui semble m'empecher de faire un log justements car je voulais te montrer cétais rendu ou !

Que dois-je faire ?
0
Utilisateur anonyme
8 nov. 2006 à 23:30
Salut,

grave toi un Cd avec dessus anti-virus, pare-feu, anti-spywares, navigateur web autre que IE.
Tu reformates complétement ! Tu réinstalles Windows ensuite via le Cd tu réinstalles anti-virus, pare-feu logiciels anti-spywares puis seulement après tu mets ta connexion internet

Je sais pas comment tu t'y prend mais pour que tu te fasses infecté comme ça dès l'installation ..
Parce que là ça sert à rien de vouloir nettoyer vu ce que tu en dis
0
Jonathan > Utilisateur anonyme
9 nov. 2006 à 00:51
J'ai un disques dur divisé avec un C: et D: .... dans le D: j'y ai laissé mp3, photos, quelques saves de jeux mais aussi les packs d'installation de tout les programmes que j'installais ... est ce que ca l'aurai pu infecté ca !? Car quand j ai formater avec windows ... j'lui ai demandé de simplement supprimé le C: ... p-e aussi que je m'y prend mal mais me semble que non. tu me conseils une autre méthode pour formater plus efficacement ? et si je mets ce qui a sur mon lecteur D: sur un dvd... ex: mp3, photos,favories et games save ... est ce que je risque d avoir graver le virus ?
0
Réponse 7 / 9
Utilisateur anonyme
9 nov. 2006 à 02:06
Si la partition D: est infecté oui tu risques de graver les salopries avec.

Je pense que tu sais formater y'a pas cinquante façons.
Télécharge les programmes ci-dessous puis mets les sur ta partition D: dès que tu aura réinstaller Windows tu installes les logiciels que je vais donner, fais le tri dans tes programmes que tu as sur la partition D: ils sont peut-être infecté

SpyBot-Search & Destroy: (gratuit en Français)
Spybot
Si tu as besoin d'aide avec Sybot regarde ce tutoriel:
http://www.tutoriaux-excalibur.com/spybot.htm

A² squared: (gratuit en Français)
A-squared
Si tu as besoin d'aide avec A-squared regarde ce tutoriel:
https://www.pcparadise.fr

Ad-Aware SE Personal: (en Anglais disponible en Français, gratuit)
Ad-aware
Si tu as besoin d'aide pour ad-Aware regarde ce tutoriel:
https://forums.cnetfrance.fr

Ewido: (en Anglais reste gratuit après la période d'essai)
Ewido
Si tu as besoin d'aide avec Ewido(devenu AVG-antispyware) regarde ce tutoriel:
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


Kerio: (pare-feu, qui reste gratuit après la periode d'essai!)
Kerio
-tutoriel: pour configurer et comprendre l'utilisation de Kerio
https://kerio.probb.fr/

Avast: (anti-virus gratuit en Français!)
Avast


a++ ;-)




0
Réponse 8 / 9
Jonathan
11 nov. 2006 à 04:08
Bon enfin !!!!

j'ai réussi a avoir tous les anti-virus (sauf spybot) que tu m'avais dit... je l ai ai update puis j en ai fais partir en mode sans echec... chaque anti-virus trouvais au moin 1ou 2 trucs graves... après m'avoir assurer que mon D: étais oké... j'ai re-formater le C: et maintenant ... c propre !!!

Maintenant j'ai une question, est ce que c possible de protégé mon lecteur D: pour que jamais plus un virus entre dedans !? est ce que c p-e parce que quand je downloadais des fichiers... il allais dans le D: !?


Merci bcq pour ton aide :)
0
Utilisateur anonyme
11 nov. 2006 à 04:10
Si tu as téléchargé un fichier infecté et que tu l'as mit dans D: ne cherche psa plus loin.

Tu protéges C: ou ets installé Windows avec un anti-virus comme Avast par exemple et un pare-feu comme Kerio.
Mets à jour ton système et fait attention à ce que tu télécharges.

y'a pas de recette miracle ;-)
0
Réponse 9 / 9
florian
4 juin 2008 à 08:18
je perdu gestionnaire des taches et Executer aussi. quel q un m aide.??? merci..........
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse