[virus] Google me dirige vers Drivecleaner Fermé

Question

Salut,

J'ai aussi un problème avec Google (redirection vers d'autres sites) et des fichiers bizarres qui apparraissent (4.temp) que je supprime mais qui réapparaissent par la suite.
Quelqu'un peut-il m'aider à virer ce truc.
J'ai Avast comme AV, ça donne rien. J'ai essayé des trucs comme Ewido, ça trouve plein de choses, mais pas l'essentiel.
Ah oui, je n'arrive plus à faire mes mises à jour Windows, ça télécharge mais ça ne s'installe pas.

Merci d'avance

Logfile of HijackThis v1.99.1
Scan saved at 22:45:54, on 29/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\Explorer.EXE
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\CloneCD\CloneCDTray.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
D:\Logiciels zip ou exe\AntiSpyware\hijackthis\oijfxd.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\corel-service.exe",
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {87E0814C-8C75-AF49-6955-25413B15CD1E} - C:\WINDOWS\exnwq1.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

salwa · Answer

bonsoir telecharge et execute ces antispywares ( pense a les mettre a jour avant de les lancées)
(1) ad-aware version 1.06 

(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite 
voir demo 
http://pageperso.aol.fr/balltrap34/adwseflash.zip 
*** 
(2) spybot version 1.4 

(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite 


voir demo d utilisation 
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm 
*** 



ps : un grand merci a balltrap pour les lien :) 

(3) AVG anti spyware 
 https://www.01net.com/telecharger/

Copier/coller le rapport entier sur le forum. (n'oublie pas de le mettre a jour avant de lancer le scan)
NB suis les instruction du tutoriel 
http://www.malekal.com/tutorial_AVG_AntiSpyware.html
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

supprime les fichiers inutiles (fichiers temporaire , cookies .. ect avec ceci

Ccleaner
https://www.malekal.com/tutoriel-ccleaner/

a+++

salwa · Answer

bonsoir ouvre hijackthis coche ces lignes ensuite clique sur fix checked

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
R3 - Default URLSearchHook is missing 
O2 - BHO: Class - {87E0814C-8C75-AF49-6955-25413B15CD1E} - C:\WINDOWS\exnwq1.dll 

si le problem persiste refait un hijack et colle le resultat ici :)

@+++

salwa · Answer

bonjour aparement les lignes resiste elles sont reaparu sur ton nouveau log 

on va les virer en mode sans echec

redemare en mode sans echec (redemarrage + tapotte sans arret sur la touche F8 desque l'ordi s'allume)
 

ouvre hijack coche et fix ces lignes
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost 
R3 - Default URLSearchHook is missing 
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\corel-service.exe", 


cherche et supprime les fichier en gras ensuite vide la corbeille :

c:\windows\corel-service.exe

redemare en mode normal et dit moi ce que ca donne

a+++

salwa5 · Answer

bonjour le scan a detecté 3 fichier infecté

D:\Mes documents\Patrick\My Shared Folder\kmd133_fr.exe/data0025/bdeviewer.exe Infecté : Trojan.Win32.Krepper.y ignoré 
D:\Mes documents\Patrick\My Shared Folder\kmd133_fr.exe/data0025 Infecté : Trojan.Win32.Krepper.y ignoré 
D:\Mes documents\Patrick\My Shared Folder\kmd133_fr.exe Inno: infecté - 2 ignoré 

j'espere que tu les a bien supprimé 

Télécharge Blacklight (de F-Secure) a l’une des 2 adresses : 
https://www.f-secure.com/en 
https://www.f-secure.com/en 

et sauvegarde le sur ton Bureau. 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). 

Copie et colle le contenu de ce rapport dans ta prochaine réponse 

ce programe permet de detecté les virus caché 

a+++

Pat Rock · Answer

Bonsoir
Oui j'ai bien éliminé ces virus, mais je ne pense pas que ceux-là soient encore actif. Bref j'ai désinstallé le logiciel qui ne me servait plus depuis quelque temps et viré tout ce qui restait. Apparemment il n'y a plus rien sur le D:
Par contre, avec F-Secure, j'ai obtenu ça :
"F-Secure BlackLight could not acquire necessary privileges (Se Debug Privileges)
- Your computer settings may prevent acquiring these privileges
- A malicious program might have disabled these privileges "
Et ça n'a pas été plus loin
Qu'en dis-tu ?

salwa5 · Answer

rebonsoir ta session est administrateur?

a+++

Pat Rock · Answer

Oui j'ai 4 comptes administrateur et en regardant dans documents and settings, il a un répertoire que je ne connais pas qui s'appelle "oLF" et dedans c'est comme un compte, il y a les même fichiers

salwa5 · Answer

ok on va essayé de restaurer les privileges avec ca

- Télécharge Sedebug-Restore.exe : 
http://download.bleepingcomputer.com/sUBs/SeDebug-Restore.exe 

- Double-clique sur le fichier. 
- Patiente puis appuies sur une touche une fois fini. 
- Redémarre ton PC. 
- Refais un scan avec F-Secure Blacklight. 

si ca marche pas je te propôse autre chose

a+++

Pat Rock · Answer

Bah je crois qu'il faut que tu proposes autre chose car il n'y a rien de changé

salwa5 · Answer

ok :) 

télécharge combofix.exe http://download.bleepingcomputer.com/sUBs/combofix.exe (par sUBs) sur ton Bureau 

Double clique combofix.exe. 

Tape sur la touche Y (Yes) pour démarrer le scan. 

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

NB: Ne fais rien pendant que l'outils travaille,

ensuite lance hijack coche et fix cette ligne :

R3 - Default URLSearchHook is missing 
O2 - BHO: Class - {87E0814C-8C75-AF49-6955-25413B15CD1E} - C:\WINDOWS\exnwq1.dll (file missing) 

a+++

Pat Rock · Answer

Voilà qui est fait Patrick - 06-12-01 22:43:02,68 Service Pack 2 ComboFix 06.11.27W - Running from: "C:\Documents and Settings\Patrick\Bureau" ((((((((((((((((((((((((((((((( Files Created from 2006-11-01 to 2006-12-01 )))))))))))))))))))))))))))))))))) 2006-12-01 06:32 d-------- C:\Program Files\Spybot - Search & Destroy 2006-12-01 06:26 dr-h----- C:\Documents and Settings\Patrick\Recent 2006-11-30 23:16 d-------- C:\WINDOWS\system32\Kaspersky Lab 2006-11-30 00:53 d-------- C:\Program Files\CCleaner 2006-11-30 00:09 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2006-11-30 00:08 d-------- C:\Program Files\Grisoft 2006-11-26 01:26 d-------- C:\Program Files\CleanUp! 2006-11-23 20:23 d-------- C:\Program Files\ewido anti-spyware 4.0 2006-11-19 11:10 d-------- C:\Documents and Settings\Patrick\Application Data\Lavasoft 2006-11-19 11:09 d-------- C:\Program Files\Lavasoft 2006-11-01 18:14 d-------- C:\Program Files\Mozilla Firefox 2006-11-01 18:14 d-------- C:\Documents and Settings\Patrick\Application Data\Mozilla (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-11-26 01:30 -------- d-------- C:\Program Files\eMule 2006-11-26 01:30 -------- d-------- C:\Documents and Settings\Patrick\Application Data\Azureus 2006-11-18 09:58 -------- d-------- C:\Program Files\Internet Explorer 2006-11-11 17:47 -------- d-------- C:\Program Files\Java 2006-11-06 22:26 -------- d-------- C:\Program Files\Azureus 2006-10-21 23:28 -------- d---s---- C:\Documents and Settings\Patrick\Application Data\Microsoft 2006-10-20 22:17 -------- d-------- C:\Program Files\FlashFXP 2006-10-18 23:08 -------- d-------- C:\Program Files\VideoCompressionCodec 2006-10-13 13:36 65536 --a------ C:\WINDOWS\system32 wwks.dll 2006-10-13 13:36 64000 --a------ C:\WINDOWS\system32 wapi32.dll 2006-10-13 13:36 145920 --a------ C:\WINDOWS\system32 wprovau.dll 2006-10-13 11:23 163584 --a------ C:\WINDOWS\system32\drivers wrdr.sys 2006-09-25 16:45 666240 --a------ C:\WINDOWS\system32\aswBoot.exe 2006-09-25 16:37 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr 2006-09-13 06:03 1084416 --a------ C:\WINDOWS\system32\msxml3.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion un] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" "NBJ"="\"C:\Program Files\Ahead\Nero BackItUp\NBJ.exe\"" "updateMgr"="\"C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe\" AcRdB7_0_7 -reboot 1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" "InCD"="C:\Program Files\Ahead\InCD\InCD.exe" "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" "SunJavaUpdateSched"="\"C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe\"" "CloneCDElbyCDFL"="\"C:\Program Files\CloneCD\ElbyCheck.exe\" /L ElbyCDFL" "CloneCDTray"="\"C:\Program Files\CloneCD\CloneCDTray.exe\"" "TkBellExe"="\"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe\" -osboot" "!AVG Anti-Spyware"="\"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe\" /minimized" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\ 00,00,04,00,00,40 "RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion un] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion un] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Completion time: 06-12-01 22:50:10.94 C:\ComboFix.txt ... 06-12-01 22:50 J'ai ensuite relance Hijack et coché les cases J'ai fait fix and checked J'ai rebooté J'ai refait Hijack pour voir et R3 et O2 sont toujours là

salwa5 · Answer

combofix a detecter ce fichier qui est plus que douteux il faut le supprimer en mode sans echec
C:\WINDOWS\system32\aswBoot.exe 


redemare en mode sans echec (redemarrage + tapotte sans arret sur la touche F8 desque l'ordi s'allume) 

cherche et supprime le fichier en gras 

C:\WINDOWS\system32\aswBoot.exe 

toujour en mode sans echec 

ouvre hijack coche et fix ces lignes :

R3 - Default URLSearchHook is missing 
O2 - BHO: Class - {87E0814C-8C75-AF49-6955-25413B15CD1E} - C:\WINDOWS\exnwq1.dll (file missing) 

redemare en mode normal lance ccleaner 

refait un hijack et colle le resultat ici

a++++

Pat Rock · Answer

Le fichier aswboot.exe a été dégagé avec succés,  mais R3 et O2 revient aprés chaque redémarrage, même aprés avoir lancé Ccleaner.
Voici le résultat de Hijack aprés avoir fix & checked R3 et O2 et redémarrer le système

Logfile of HijackThis v1.99.1
Scan saved at 00:30:19, on 02/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Logiciels zip ou exe\AntiSpyware\hijackthis\oijfxd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {87E0814C-8C75-AF49-6955-25413B15CD1E} - C:\WINDOWS\exnwq1.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

salwa5 · Answer

ok tu peu restaurer le fichier que t'as supprimé il est dans la corbeille

sinon as tu installé un programe qui empeche la modification du registre? si c'est le cas donc c'est normal que les lignes revienne a chaque fois . 

* Télécharge FixWareout d'un de ces deux sites sur le bureau: 
http://downloads.subratam.org/Fixwareout.exe 
http://swandog46.geekstogo.com/Fixwareout.exe 

* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. 
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. 

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse. 

on va y'arrivé :)

a+++

Pat Rock · Answer

Contenu du rapport de Fixwareout :

 
Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please 
 
Reg Entries that were deleted 
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM 
...
 
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
 
»»»»» Searching by size/names... 
 
»»»»» 
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
 
Other suspects.
Directory of C:\WINDOWS\system32
 
»»»»» Misc files. 
 
»»»»» Checking for older varients covered by the Rem3 tool.
 
et celui de Hijack :

Logfile of HijackThis v1.99.1
Scan saved at 01:10:14, on 02/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
D:\Logiciels zip ou exe\AntiSpyware\hijackthis\oijfxd.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {87E0814C-8C75-AF49-6955-25413B15CD1E} - C:\WINDOWS\exnwq1.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

salwa5 · Answer

bonjour le scan n'a rien donnée

j'ai jamais vu un spy aussi resistant :p 

peu tu verifier quelque chose

va dans demarrer/executer tapes : regedit

ensuite va dans edtition /autorisation 

verifie si ton compte a tout les droit
c'est a dire verifies si les case control total et lecture sont bien coché


a++++

Pat Rock · Answer

Bonjour
Je vais tenter de te décrire la scène, une fois Regedit effectué :

Poste de Travail
"autorisations" n'est pas actif

HKEY_CLASSES_ROOT
- Administrateurs (XP1200ATI\Administrateurs) : Contrôle total et Lecture : Autoriser est coché
- Créateur propriétaire : rien n'est coché
- System : Contrôle total et Lecture : Autoriser est coché
- Utilisateurs (XP1200ATI\Utilisateurs) : Lecture est autorisé
- Utilisateurs avec pouvoirs (XP1200ATI\Utilisateurs avec pouvoirs) : Lecture est autorisé et Autorisations spéciales est autorisé (case grisée)

HKEY_CURRENT_USER
- Administrateurs (XP1200ATI\Administrateurs) : Contrôle total et Lecture : Autoriser est coché
- Patrick (XP1200ATI\Patrick) : Contrôle total et Lecture : Autoriser est coché
- Restricted : Lecture est autorisé
- System : Contrôle total et Lecture : Autoriser est coché

HKEY_LOCAL_MACHINE
- Administrateurs (XP1200ATI\Administrateurs) : Contrôle total et Lecture : Autoriser est coché
- Restricted : Lecture est autorisé
- System : Contrôle total et Lecture : Autoriser est coché
- Tout le monde : Lecture est autorisé

HKEY_USERS : idem Local Machine

HKEY_CURRENT_CONFIG
- Administrateurs (XP1200ATI\Administrateurs) : Contrôle total et Lecture : Autoriser est coché
- Créateur propriétaire : Contrôle total et Lecture : Autoriser est coché
- System : Contrôle total et Lecture : Autoriser est coché
- Utilisateurs (XP1200ATI\Utilisateurs) : Lecture est autorisé
- Utilisateurs avec pouvoirs (XP1200ATI\Utilisateurs avec pouvoirs) : Lecture est autorisé

salwa5 · Answer

aparement tout est ok niveau authorisation 

on essay une derniere chose si ca donne rien je demanderai a regis ou quelqu'un d'autre de venir se penché sur ton probleme car j'ai presque plus d'ideé :/


Télécharge SDFix sur ton bureau 

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. 
Redémarre ton ordinateur en mode sans échec 
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script. 
Appuie sur Y pour commencer le processus de nettoyage. 
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
Appuie sur une touche pour redémarrer le PC. 
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ! 

a+++ :)

Pat Rock · Answer

Bon ça tourne, en attendant voici quelques remarques :
- Le PC infecté n'est pas celui sur lequel je transmets ces informations
- J'ai collé SDFix sur mon bureau mais lorsqu'il s'est ouvert, c'est dans C: qu'il a ouvert son répertoire
- Je n'ai pas pu Démarrer sans echec, il ne veut pas. Pour y arriver, je me suis débranché de mon réseau, j'ai éliminé une nouvelle fois  aswBoot.exe, j'ai refait un Hijack et Fix checked O2 et R3. Aprés ça j'ai pu redémarrer sans echec et continuer la procédure décrite.
- Aprés toutes les manip précédentes, Il me semblait que Google n'était plus infecté. mais lorsque j'ai lancé IE, il m'a changé ma page d'accueil et s'est connecté sur MSN, un message du style de Drivecleaner est apparu à nouveau. J'avais au préalable viré aswBoot.exe et refait la manip avec Hijack, mais tout est revenu aprés que je me soit connecté à Internet.
- Je ne peux pas faire de mise à jour Windows. Il me propose de télécharger une mise à jour, aprés il me propose de l'installer et aprés il me propose à nouveau de télécharger la même mise à jour.
- je ne peux pas lancer Spybot, car la mise à jour m'est interdite
- J'aimerai que tu me dises si je dois faire ces opérations en étant connecté ou déconnecté D'internet, car je pense que le résultat sera différent (ex: je fais un hijack en étant déconnecté, il ne détecte plus les O2 et R3. Si je me reconnecte et va sur Google par exemple, mon résultat de Hijack fait réapparaitre  O2 et R3

Bon je crois que SDFix a fini, je pense avoir tout dit.

Voici le rapport SDFix, ensuite celui de Hijack en étant déconnecté et je l'ai refait aprés connection. Ça confirme ce que j'ai dit plus haut.

Encore un grand merci de t'occuper de mon cas


SDFix: Version 1.44
****************

02/12/2006 - 16:41:22,36

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Stage One - Safe Mode
Checking Services... 

Service Name: 


File Path:



Starting Registry Repairs...
 
Restoring Default Hosts File... 
 
Stage One Complete
 
Rebooting...
 
Stage Two - Normal Mode 
 
Checking For Malware:
-------------------- 
 
C:\WINDOWS\system32\SysPr.prx
 
Backing Up and Removing any Files Found... 
 
                                 Final Check:
 
Services:
---------


Authorized Applications Export:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    %windir%\system32\sessmgr.exe	REG_SZ	%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
    C:\Program Files\EA GAMES\Need For Speed Underground\Speed.exe	REG_SZ	C:\Program Files\EA GAMES\Need For Speed Underground\Speed.exe:*:Enabled:Speed
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe	REG_SZ	C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe:*:Enabled:Logitech Desktop Messenger
    C:\Program Files\eMule\emule.exe	REG_SZ	C:\Program Files\eMule\emule.exe:*:Enabled:eMule
    C:\Program Files\KiSS Technology\KiSS PC-Link\KiSS PC-Link.exe	REG_SZ	C:\Program Files\KiSS Technology\KiSS PC-Link\KiSS PC-Link.exe:*:Enabled:Server Application For KiSS PC-LINK
    C:\Program Files\Ahead\Nero ShowTime\ShowTime.exe	REG_SZ	C:\Program Files\Ahead\Nero ShowTime\ShowTime.exe:*:Enabled:Nero ShowTime
    C:\Games\GP4.exe	REG_SZ	C:\Games\GP4.exe:*:Enabled:GP4
    C:\Program Files\Java\jre1.5.0_04\bin\javaw.exe	REG_SZ	C:\Program Files\Java\jre1.5.0_04\bin\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary
    C:\Program Files\Java\jre1.5.0_06\bin\javaw.exe	REG_SZ	C:\Program Files\Java\jre1.5.0_06\bin\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary
    C:\Program Files\Internet Explorer\iexplore.exe	REG_SZ	C:\Program Files\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer
    C:\Program Files\Azureus\Azureus.exe	REG_SZ	C:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus
    D:\Program Files\Real\RealPlayerealplay.exe	REG_SZ	D:\Program Files\Real\RealPlayerealplay.exe:*:Enabled:RealPlayer
    C:\Program Files\FlashFXP\flashfxp.exe	REG_SZ	C:\Program Files\FlashFXP\flashfxp.exe:*:Enabled:FlashFXP v3
    C:\Program Files\Messenger\msmsgs.exe	REG_SZ	C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
    %windir%\system32\sessmgr.exe	REG_SZ	%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
    C:\Program Files\FlashFXP\flashfxp.exe	REG_SZ	C:\Program Files\FlashFXP\flashfxp.exe:*:Enabled:FlashFXP v3

Files:
------

Backups Folder: - C:\SDFix\backups\backups.zip

Checking for files with Hidden Attributes:

C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys
C:\WINDOWS\system32\5FCA74DBF4.sys
C:\WINDOWS\system32\KGyGaAvL.sys

                                 FINISHED!

Rapport Hijack déconnecté

Logfile of HijackThis v1.99.1
Scan saved at 17:13:57, on 02/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
D:\Logiciels zip ou exe\AntiSpyware\hijackthis\oijfxd.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

Rapport Hijack aprés connection

Logfile of HijackThis v1.99.1
Scan saved at 17:20:25, on 02/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Logiciels zip ou exe\AntiSpyware\hijackthis\oijfxd.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {87E0814C-8C75-AF49-6955-25413B15CD1E} - C:\WINDOWS\exnwq1.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

Désolé d'avoir été un peu long

salwa5 · Answer

tu as bien fait de m'expliqué en detail ce qui c'est passé :) aparement le reseau internet est infecté 

esque l'ordi infecté est connecté a un autre ordinateur? 

verifie stp le fichier hosts il se peu que le probleme vien de la 

donc rend toi dans

C:\WINDOWS\system32\drivers\etc

ouvre le fichier hosts avec le blocnote

et copie colle sur le forum tout ce qu'il y'a a l'interieur 


j'ai une alternative pour contournée le probleme c'est d'installe un parefeu , s normalement ca va bloqué l'intrusions  

Kerio (parefeu)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html

tuto

https://forums.cnetfrance.fr

a+++ 

bon courage

salwa5 · Answer

pour le fichier aswBoot.exe  pas besoin de le supprime d'apres mes recherche il est lié a l'antivirus avast :p

a+++

Pat Rock · Answer

OK j'installe Kerio.
Pour mon installation, j'ai 2 PC et un lecteur DVD avec DD branché en réseau sur un switch D-Link (DES-1008D) et raccordé sur un modem-routeur Speed Touch (Thomson 510). Les PC ne sont donc pas raccordés entre eux, mais par l'intermédiaire du switch. Sur mon 2ème PC, je n'ai apparemment pas de problème.

Voici le contenu de Hosts :

# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost

Regis59 · Answer

Salut,

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

A+

Pat Rock · Answer

Ça à l'air de lui posé un problème, il m'affiche ça :

Windows sockets initialzation failed

Ensuite message d'alerte pour dire que je n'avais plus de pare-feu sur mon PC

Et enfin plus de connection internet possible

J'ai donc désinstallé Kério et remis le pare-feu Windows et réparé ma connection internet. Ça à l'air de remarcher.
J'ai pas trop confiance en ça, j'avais l'impression qu'on essayait de me piquer mon adresse IP, car en bas à droite il y avait les 2 petits écrans qui clignotaient avec un message quand je cliquais dessus, mais je ne sais plus trop c'était quoi.

Je sais plus quoi faire

Pat Rock · Answer

Salut Régis59

Voici mon rapport

SmitFraudFix v2.126

Rapport fait à 19:04:08,79, 02/12/2006
Executé à partir de D:\Logiciels zip ou exe\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Patrick


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Patrick\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Patrick\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

C:\Program Files\VideoCompressionCodec\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Regis59 · Answer

Salut,

Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5).  
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

A+

Pat Rock · Answer

SmitFraudFix v2.126

Rapport fait à 20:03:45,42, 02/12/2006
Executé à partir de D:\Logiciels zip ou exe\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Program Files\VideoCompressionCodec\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

Voilà le rapport


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

salwa5 · Answer

c'est domage que kerio n'ai pas fonctioné :/ aparement y'a des fichier system ou des clée endomagé 

 on va essayé de configurer le parefeu de windows 
va dans paneau de config uration/parefeu dans l'onglet exeption regarde si il y'a un programe que tu ne connais pas? 


pour l'instant je n'ai pas trop d'idée sauf peu etre faire une restauration a une heur anterieur tu va perdre quelque programe mais c'est pas trop grave :p tu les reinstalera plus tard enfin on va laissé cette solution comme dernier recourt :)

a++++

Regis59 · Answer

Salut

Quels soucis te restes tu?

A+

Pat Rock · Answer

C'est difficile pour moi de savoir ce qui est correct ou non.

Voici ce que j'ai trouvé et que je ne connais pas (excusez mon ignorance)

- Assistance à distance : sessmgr.exe
- Infrastructure Upnp : TCP 2889 - UDP 1900
- Java : jre 1.5.0_06\bin\jawaw.exe
- Java : jre 1.5.0_04\bin\jawaw.exe
- Logitech : Logitech\Desktop\Messenger\8876480\program\back\web-8876480.exe
- Partage fichiers et imprimantes : TCP 139 - TCP 445 - TCP 137 - TCP 139

Les autres me paraissent logique

salwa5 · Answer

jawaw est lier au programe azureus je vois que tu as 2 version

- Java : jre 1.5.0_06\bin\jawaw.exe 
- Java : jre 1.5.0_04\bin\jawaw.exe 

je connais pas bien le programe azureus mais je pense que tu peu  desinstaller la version 1.5.0_04 , desinstalle aussi  Logitech Desktop Messenger il est inutile



sinon le reste c'est correct 


apres coche les lignes dans hijackthis

R3 - Default URLSearchHook is missing 
O2 - BHO: Class - {87E0814C-8C75-AF49-6955-25413B15CD1E} - C:\WINDOWS\exnwq1.dll (file missing) 
 
redemare et dit nous ce que ca donne 

a+++

Pat Rock · Answer

C'est toujours pareil
Je lance Hijack et supprime les fichiers
Je reboote, je relance Hijack, ils ne sont plus là
Je me connecte simplement à internet, je relance Hijack et ils sont revenus

salwa5 · Answer

Bonsoir si le probleme persiste essay une restauration a une heur anterieur ca va te permetre de revenir en arriere c'est a dire a une date anterieur au probleme 


demarrer/ tt les programe/accessoire/outills systeme/ restauration du system 
ensuite tu coche "restaurer mon ordi a une heur anterieure" ensuite tu clike sur "suivant " 

Ensuite choisissez une date dans le calendrier à laquelle vous n'aviez pas encore ce problème 

tu va perdre quelque programes  mais c pas grave :p tu les reinstalera plus tard

si le probleme persiste ( j'espere que non )  essay la soluce proposer sur ce site entre autre reparer les clées du registre avec l'utilitaire WinsockXPfix.exe ensuite coche les lignes dans hijack normalement elles vont pas revenir


http://forum.zebulon.fr/lofiversion/index.php/t61992.html

bon courage :)

a+++

Pat Rock · Answer

OK j'essaierai tout ça demain
Ciao

Pat Rock · Answer

Avant de faire ça, je voudrai savoir un truc.

Dans "Documents and settings" il y a un répertoire que je n'avais jamais vu auparavant et qui s'appelle "oLF" et dedans, il y a la même chose que pour les 4 autres utilisateurs.
Je m'explique, quand j'allume mon PC, j'ai le choix entre 4 sessions (toutes administrateurs). Quand je vérifie dans Documents and settings, je retrouve mes 4 utilisateurs + All Users + 3 répertoires cachés (Default User + LocalService + Network service) et un autre qui s'appelle "oLF".

Est-ce normal  ?
J'ai essayé de le supprimer sans succés (mais c'est peut-être normal s'il s'agit d'une session). Par contre je ne sais pas comment le virer.
As-tu une idée ?

salwa5 · Answer

bonjour je sais pas trop a quoi ca correspond 

ca ne serait pas une sauvergarde de Nero BackItUp ? 


clic droit sur le dossier olf / propriété et regarde quand esqu'il a été cree 

ensuite regarde si tu peu le supprimé comme ceci

paneau de configuration/comptes d'utilisateur / modifier un compte

regarde dans la list si tu trouve olf ensuite supprime le :)

a+++

Pat Rock · Answer

Justement, il n'apparait pas dans les comptes utilisateurs. Donc je ne peux pas le modifier. Et je ne peux pas le virer directement.
Il a  été créé en aout 2001 alors j'ai mis un nouveau DD en janvier 2005. Tous les autres comptes ont été créés en janvier 2005.
De plus il est en lecture seule, donc je l'ai décoché je n'ai pas pu le virer non plus et quand j'ai regardé à nouveau il était encore en lecture seule.

Si je pouvais le virer, je crois que ça pourrait résoudre une partie du problème. Non ?

salwa5 · Answer

Si je pouvais le virer, je crois que ça pourrait résoudre une partie du problème. Non ?


franchement je ne sais pas si ca va resoudre le probleme :p tu peu essayer de le supprimer en mode sans echec  mais je ne te guaranti rien ( quand tu le supprime , ne vide pas la corbeille , on sais jamais si ton ordi plante tu poura tjr le restauré)



ton probleme de google est aparu recement une restauration a une heur anterieur poura resoudre facilement le probleme :) 

enfin fait ce qui te semble bien :) 



a++++

[virus] Google me dirige vers Drivecleaner

38 réponses

Discussions similaires