Iexplore.exe virus 2à3 processus o demargPC
Axis80
Messages postés
183
Statut
Membre
-
Axis80 Messages postés 183 Statut Membre -
Axis80 Messages postés 183 Statut Membre -
Bonjour, depuis quques Jours g 2à3 processus iexplore.exe dès le demarage de mon pc, en stoppant ces processus dans le gestion2tach ils reapparaissent ausitot
j'ai fait des scan avec Norton, spybotS&D, avg, xoftspy, emco,asqared, mais toujours pareil
j'ai suivit 1 procedure inscrite sur ce site :
tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif
ad-aware (1)version 1.06
(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
--
spybot (2)version 1.4
(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
--
et aussi ceci
CleanUp40.exe(3)
voir demo
http://pageperso.aol.fr/balltrap34/democleanup.htm
--
a2(4)
https://www.emsisoft.com/fr/
penser a le metre a jour avant de scanner le pc
----------------
desactive ta restauration systeme
pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------
demarre en mode sans echec
mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------
assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer
----------------------
vide tes fichiers temps et tempory internet file sur tous les utilisateur
utilise ceci pour le faire
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
--------------------
relance hijack coche ces lignes et ensuite clik sur fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\elmyq.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\elmyq.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\elmyq.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\elmyq.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\elmyq.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\elmyq.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\elmyq.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {F97F2532-4324-0DA9-21C3-64C1650A6515} - C:\WINDOWS\system32\atlrc.dll
O2 - BHO: Class - {FEEB74BD-0EE1-8D2A-3A47-85E6B36D5479} - C:\WINDOWS\winuu.dll
O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [javaln.exe] C:\WINDOWS\javaln.exe
O4 - HKLM\..\Run: [systz.exe] C:\WINDOWS\system32\systz.exe
O4 - HKLM\..\Run: [winri.exe] C:\WINDOWS\winri.exe
O4 - HKLM\..\Run: [ipkk.exe] C:\WINDOWS\system32\ipkk.exe
O4 - HKLM\..\Run: [winei.exe] C:\WINDOWS\system32\winei.exe
O4 - HKLM\..\RunOnce: [addtj.exe] C:\WINDOWS\addtj.exe
O4 - HKLM\..\RunOnce: [appzn.exe] C:\WINDOWS\system32\appzn.exe
O4 - HKLM\..\RunOnce: [winng32.exe] C:\WINDOWS\winng32.exe
O4 - HKLM\..\RunOnce: [mfcoi.exe] C:\WINDOWS\system32\mfcoi.exe
O4 - HKLM\..\RunOnce: [atlpd.exe] C:\WINDOWS\atlpd.exe
O4 - HKLM\..\RunOnce: [apioe.exe] C:\WINDOWS\system32\apioe.exe
O4 - HKLM\..\RunOnce: [addvj.exe] C:\WINDOWS\system32\addvj.exe
O4 - HKLM\..\RunOnce: [craq.exe] C:\WINDOWS\craq.exe
O4 - HKLM\..\RunOnce: [addfy32.exe] C:\WINDOWS\system32\addfy32.exe
O4 - HKLM\..\RunOnce: [javand.exe] C:\WINDOWS\javand.exe
O4 - HKLM\..\RunOnce: [javajs.exe] C:\WINDOWS\system32\javajs.exe
O4 - HKLM\..\RunOnce: [appgl32.exe] C:\WINDOWS\system32\appgl32.exe
O4 - HKLM\..\RunOnce: [mspv.exe] C:\WINDOWS\mspv.exe
O4 - HKLM\..\RunOnce: [crlm32.exe] C:\WINDOWS\system32\crlm32.exe
O4 - HKLM\..\RunOnce: [iebu.exe] C:\WINDOWS\system32\iebu.exe
O4 - HKLM\..\RunOnce: [appzb.exe] C:\WINDOWS\appzb.exe
O4 - HKLM\..\RunOnce: [javauk32.exe] C:\WINDOWS\javauk32.exe
O4 - HKLM\..\RunOnce: [msii.exe] C:\WINDOWS\msii.exe
O4 - HKLM\..\RunOnce: [javazd32.exe] C:\WINDOWS\javazd32.exe
O4 - HKLM\..\RunOnce: [sysfx32.exe] C:\WINDOWS\sysfx32.exe
O4 - HKLM\..\RunOnce: [d3vd.exe] C:\WINDOWS\d3vd.exe
O4 - HKLM\..\RunOnce: [netrd32.exe] C:\WINDOWS\system32\netrd32.exe
O4 - HKLM\..\RunOnce: [msun32.exe] C:\WINDOWS\msun32.exe
O4 - HKLM\..\RunOnce: [apidr32.exe] C:\WINDOWS\system32\apidr32.exe
O4 - HKLM\..\RunOnce: [crto.exe] C:\WINDOWS\crto.exe
O4 - HKLM\..\RunOnce: [apiyi32.exe] C:\WINDOWS\system32\apiyi32.exe
O4 - HKLM\..\RunOnce: [netvr.exe] C:\WINDOWS\netvr.exe
O4 - HKLM\..\RunOnce: [winbl32.exe] C:\WINDOWS\winbl32.exe
O4 - HKLM\..\RunOnce: [winhy32.exe] C:\WINDOWS\system32\winhy32.exe
O4 - HKLM\..\RunOnce: [netxs32.exe] C:\WINDOWS\system32\netxs32.exe
O4 - HKLM\..\RunOnce: [addep.exe] C:\WINDOWS\addep.exe
O4 - HKLM\..\RunOnce: [netzv.exe] C:\WINDOWS\system32\netzv.exe
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addtj.exe" /s (file missing)
----------------------
recherche et suppr ceci
attention seulement les fichiers si tu trouve
C:\WINDOWS\system32\elmyq.dll/sp.html#37049
C:\WINDOWS\system32\elmyq.dll
C:\WINDOWS\system32\atlrc.dll
C:\WINDOWS\winuu.dll
C:\WINDOWS\javaln.exe
C:\WINDOWS\system32\systz.exe
C:\WINDOWS\winri.exe
C:\WINDOWS\system32\ipkk.exe
C:\WINDOWS\system32\winei.exe
C:\WINDOWS\addtj.exe
C:\WINDOWS\system32\appzn.exe
C:\WINDOWS\winng32.exe
C:\WINDOWS\system32\mfcoi.exe
C:\WINDOWS\atlpd.exe
C:\WINDOWS\system32\apioe.exe
C:\WINDOWS\system32\addvj.exe
C:\WINDOWS\craq.exe
C:\WINDOWS\system32\addfy32.exe
C:\WINDOWS\javand.exe
C:\WINDOWS\system32\javajs.exe
C:\WINDOWS\system32\appgl32.exe
C:\WINDOWS\mspv.exe
C:\WINDOWS\system32\crlm32.exe
C:\WINDOWS\system32\iebu.exe
C:\WINDOWS\appzb.exe
C:\WINDOWS\javauk32.exe
C:\WINDOWS\msii.exe
C:\WINDOWS\javazd32.exe
C:\WINDOWS\sysfx32.exe
C:\WINDOWS\d3vd.exe
C:\WINDOWS\system32\netrd32.exe
C:\WINDOWS\msun32.exe
C:\WINDOWS\system32\apidr32.exe
C:\WINDOWS\crto.exe
C:\WINDOWS\system32\apiyi32.exe
C:\WINDOWS\netvr.exe
C:\WINDOWS\winbl32.exe
C:\WINDOWS\system32\winhy32.exe
C:\WINDOWS\system32\netxs32.exe
C:\WINDOWS\addep.exe
C:\WINDOWS\system32\netzv.exe
C:\WINDOWS\addtj.exe
-----------------
clik sur Démarrer->exécuter->tape: services.msc
Double-clique: Network Security Service (NSS)
Règle-le sur "Arrêté" et "Désactivé".
------------
passe adaware et vire tous se qu il trouve
----------
passe spy boot et vire tous se qu il trouvent
-------------
tu vide ta poubelle et tu redemarre en mode normal et refait un hijack
et precise ou en sont tes soucis
****************************************************
Voilà donc le log Hijack :
Logfile of HijackThis v1.99.1
Scan saved at 16:53:21, on 30/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe
D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
D:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
d:\progra~1\intern~1\iexplore.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Fichiers communs\Symantec Shared\NMain.exe
D:\PROGRA~1\NORTON~1\navw32.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Documents and Settings\admin\Mes documents\ANTVIRUS-SPYWARE\Scanner.exe.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {71108984-4361-19BB-3C25-19E4CEB2E89B} - blank (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NVMixerTray] "D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] D:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [HP Software Update] "D:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [FAST SECT] D:\DOCUME~1\admin\APPLIC~1\HIDEIN~1\sendsoapfunk.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109w.bay109.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/15b48bcbf58149b76216/netzip/RdxIE601_fr.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: COM+ Messages - Unknown owner - D:\WINDOWS\System32\svchosts.exe" -e te-110-12-0000307 (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Network Provisioning DDE - Unknown owner - D:\WINDOWS\system32\lsass.com
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
******************************************************
merci de m'aider j'ai toujours c trois processus iexplore.exe au demmarage, dont 1 à 40mo de RAM, j'ose plus aller sur le net
Cedric
j'ai fait des scan avec Norton, spybotS&D, avg, xoftspy, emco,asqared, mais toujours pareil
j'ai suivit 1 procedure inscrite sur ce site :
tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif
ad-aware (1)version 1.06
(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
--
spybot (2)version 1.4
(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
--
et aussi ceci
CleanUp40.exe(3)
voir demo
http://pageperso.aol.fr/balltrap34/democleanup.htm
--
a2(4)
https://www.emsisoft.com/fr/
penser a le metre a jour avant de scanner le pc
----------------
desactive ta restauration systeme
pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------
demarre en mode sans echec
mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------
assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer
----------------------
vide tes fichiers temps et tempory internet file sur tous les utilisateur
utilise ceci pour le faire
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
--------------------
relance hijack coche ces lignes et ensuite clik sur fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\elmyq.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\elmyq.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\elmyq.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\elmyq.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\elmyq.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\elmyq.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\elmyq.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {F97F2532-4324-0DA9-21C3-64C1650A6515} - C:\WINDOWS\system32\atlrc.dll
O2 - BHO: Class - {FEEB74BD-0EE1-8D2A-3A47-85E6B36D5479} - C:\WINDOWS\winuu.dll
O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [javaln.exe] C:\WINDOWS\javaln.exe
O4 - HKLM\..\Run: [systz.exe] C:\WINDOWS\system32\systz.exe
O4 - HKLM\..\Run: [winri.exe] C:\WINDOWS\winri.exe
O4 - HKLM\..\Run: [ipkk.exe] C:\WINDOWS\system32\ipkk.exe
O4 - HKLM\..\Run: [winei.exe] C:\WINDOWS\system32\winei.exe
O4 - HKLM\..\RunOnce: [addtj.exe] C:\WINDOWS\addtj.exe
O4 - HKLM\..\RunOnce: [appzn.exe] C:\WINDOWS\system32\appzn.exe
O4 - HKLM\..\RunOnce: [winng32.exe] C:\WINDOWS\winng32.exe
O4 - HKLM\..\RunOnce: [mfcoi.exe] C:\WINDOWS\system32\mfcoi.exe
O4 - HKLM\..\RunOnce: [atlpd.exe] C:\WINDOWS\atlpd.exe
O4 - HKLM\..\RunOnce: [apioe.exe] C:\WINDOWS\system32\apioe.exe
O4 - HKLM\..\RunOnce: [addvj.exe] C:\WINDOWS\system32\addvj.exe
O4 - HKLM\..\RunOnce: [craq.exe] C:\WINDOWS\craq.exe
O4 - HKLM\..\RunOnce: [addfy32.exe] C:\WINDOWS\system32\addfy32.exe
O4 - HKLM\..\RunOnce: [javand.exe] C:\WINDOWS\javand.exe
O4 - HKLM\..\RunOnce: [javajs.exe] C:\WINDOWS\system32\javajs.exe
O4 - HKLM\..\RunOnce: [appgl32.exe] C:\WINDOWS\system32\appgl32.exe
O4 - HKLM\..\RunOnce: [mspv.exe] C:\WINDOWS\mspv.exe
O4 - HKLM\..\RunOnce: [crlm32.exe] C:\WINDOWS\system32\crlm32.exe
O4 - HKLM\..\RunOnce: [iebu.exe] C:\WINDOWS\system32\iebu.exe
O4 - HKLM\..\RunOnce: [appzb.exe] C:\WINDOWS\appzb.exe
O4 - HKLM\..\RunOnce: [javauk32.exe] C:\WINDOWS\javauk32.exe
O4 - HKLM\..\RunOnce: [msii.exe] C:\WINDOWS\msii.exe
O4 - HKLM\..\RunOnce: [javazd32.exe] C:\WINDOWS\javazd32.exe
O4 - HKLM\..\RunOnce: [sysfx32.exe] C:\WINDOWS\sysfx32.exe
O4 - HKLM\..\RunOnce: [d3vd.exe] C:\WINDOWS\d3vd.exe
O4 - HKLM\..\RunOnce: [netrd32.exe] C:\WINDOWS\system32\netrd32.exe
O4 - HKLM\..\RunOnce: [msun32.exe] C:\WINDOWS\msun32.exe
O4 - HKLM\..\RunOnce: [apidr32.exe] C:\WINDOWS\system32\apidr32.exe
O4 - HKLM\..\RunOnce: [crto.exe] C:\WINDOWS\crto.exe
O4 - HKLM\..\RunOnce: [apiyi32.exe] C:\WINDOWS\system32\apiyi32.exe
O4 - HKLM\..\RunOnce: [netvr.exe] C:\WINDOWS\netvr.exe
O4 - HKLM\..\RunOnce: [winbl32.exe] C:\WINDOWS\winbl32.exe
O4 - HKLM\..\RunOnce: [winhy32.exe] C:\WINDOWS\system32\winhy32.exe
O4 - HKLM\..\RunOnce: [netxs32.exe] C:\WINDOWS\system32\netxs32.exe
O4 - HKLM\..\RunOnce: [addep.exe] C:\WINDOWS\addep.exe
O4 - HKLM\..\RunOnce: [netzv.exe] C:\WINDOWS\system32\netzv.exe
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addtj.exe" /s (file missing)
----------------------
recherche et suppr ceci
attention seulement les fichiers si tu trouve
C:\WINDOWS\system32\elmyq.dll/sp.html#37049
C:\WINDOWS\system32\elmyq.dll
C:\WINDOWS\system32\atlrc.dll
C:\WINDOWS\winuu.dll
C:\WINDOWS\javaln.exe
C:\WINDOWS\system32\systz.exe
C:\WINDOWS\winri.exe
C:\WINDOWS\system32\ipkk.exe
C:\WINDOWS\system32\winei.exe
C:\WINDOWS\addtj.exe
C:\WINDOWS\system32\appzn.exe
C:\WINDOWS\winng32.exe
C:\WINDOWS\system32\mfcoi.exe
C:\WINDOWS\atlpd.exe
C:\WINDOWS\system32\apioe.exe
C:\WINDOWS\system32\addvj.exe
C:\WINDOWS\craq.exe
C:\WINDOWS\system32\addfy32.exe
C:\WINDOWS\javand.exe
C:\WINDOWS\system32\javajs.exe
C:\WINDOWS\system32\appgl32.exe
C:\WINDOWS\mspv.exe
C:\WINDOWS\system32\crlm32.exe
C:\WINDOWS\system32\iebu.exe
C:\WINDOWS\appzb.exe
C:\WINDOWS\javauk32.exe
C:\WINDOWS\msii.exe
C:\WINDOWS\javazd32.exe
C:\WINDOWS\sysfx32.exe
C:\WINDOWS\d3vd.exe
C:\WINDOWS\system32\netrd32.exe
C:\WINDOWS\msun32.exe
C:\WINDOWS\system32\apidr32.exe
C:\WINDOWS\crto.exe
C:\WINDOWS\system32\apiyi32.exe
C:\WINDOWS\netvr.exe
C:\WINDOWS\winbl32.exe
C:\WINDOWS\system32\winhy32.exe
C:\WINDOWS\system32\netxs32.exe
C:\WINDOWS\addep.exe
C:\WINDOWS\system32\netzv.exe
C:\WINDOWS\addtj.exe
-----------------
clik sur Démarrer->exécuter->tape: services.msc
Double-clique: Network Security Service (NSS)
Règle-le sur "Arrêté" et "Désactivé".
------------
passe adaware et vire tous se qu il trouve
----------
passe spy boot et vire tous se qu il trouvent
-------------
tu vide ta poubelle et tu redemarre en mode normal et refait un hijack
et precise ou en sont tes soucis
****************************************************
Voilà donc le log Hijack :
Logfile of HijackThis v1.99.1
Scan saved at 16:53:21, on 30/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe
D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
D:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
d:\progra~1\intern~1\iexplore.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Fichiers communs\Symantec Shared\NMain.exe
D:\PROGRA~1\NORTON~1\navw32.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Documents and Settings\admin\Mes documents\ANTVIRUS-SPYWARE\Scanner.exe.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {71108984-4361-19BB-3C25-19E4CEB2E89B} - blank (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NVMixerTray] "D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] D:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [HP Software Update] "D:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [FAST SECT] D:\DOCUME~1\admin\APPLIC~1\HIDEIN~1\sendsoapfunk.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109w.bay109.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/15b48bcbf58149b76216/netzip/RdxIE601_fr.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: COM+ Messages - Unknown owner - D:\WINDOWS\System32\svchosts.exe" -e te-110-12-0000307 (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Network Provisioning DDE - Unknown owner - D:\WINDOWS\system32\lsass.com
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
******************************************************
merci de m'aider j'ai toujours c trois processus iexplore.exe au demmarage, dont 1 à 40mo de RAM, j'ose plus aller sur le net
Cedric
A voir également:
- Iexplore.exe virus 2à3 processus o demargPC
- O&o shutup10 - Télécharger - Confidentialité
- O&o defrag - Télécharger - Optimisation
- Virus mcafee - Accueil - Piratage
- Softonic virus - Forum Virus
- Que veut dire o - Forum Mail
6 réponses
Bonjour
Je ne sais pas si la manip était indiquée dans ton cas.
Télécharge LopxpMH sur ton Bureau.
http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip
Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
Poste le contenu du rapport qui va s'ouvrir.
Je ne sais pas si la manip était indiquée dans ton cas.
Télécharge LopxpMH sur ton Bureau.
http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip
Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
Poste le contenu du rapport qui va s'ouvrir.
Slt Chercheurbis
voilà le log de lopxpMH2 :
Rapport fait à 14:25:23,95 le 31/01/2007
******************************************
## Répertoires Application Data
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\admin\Application Data
07/12/2006 14:00 <REP> .
07/12/2006 14:00 <REP> ..
07/12/2006 16:10 <REP> Adobe
07/12/2006 16:10 <REP> AdobeUM
17/01/2007 12:35 <REP> Apple Computer
08/12/2006 19:38 <REP> ArcSoft
20/01/2007 15:37 <REP> BitDownload
15/12/2006 22:17 <REP> DivX
07/12/2006 15:48 <REP> Google
17/01/2007 17:20 <REP> Help
20/01/2007 15:36 <REP> HIDE INFO NAME
07/12/2006 14:00 <REP> Identities
15/12/2006 15:41 <REP> InterVideo
07/12/2006 15:46 <REP> Macromedia
07/12/2006 14:00 <REP> Microsoft
15/12/2006 18:08 <REP> Real
07/12/2006 15:11 <REP> Symantec
20/01/2007 16:14 <REP> ??crosoft
07/12/2006 14:00 62 desktop.ini
1 fichier(s) 62 octets
18 R‚p(s) 20ÿ621ÿ070ÿ336 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\admin\Local Settings\Application Data
07/12/2006 14:00 <REP> .
07/12/2006 14:00 <REP> ..
07/12/2006 16:10 <REP> Adobe
16/12/2006 14:39 <REP> ApplicationHistory
07/12/2006 15:48 <REP> Google
17/01/2007 17:20 <REP> Help
16/12/2006 14:39 <REP> HP
04/01/2007 16:52 <REP> Identities
16/12/2006 14:40 <REP> IsolatedStorage
07/12/2006 14:00 <REP> Microsoft
08/12/2006 14:56 48ÿ128 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
16/12/2006 14:39 128 fusioncache.dat
15/12/2006 15:41 12ÿ328 GDIPFONTCACHEV1.DAT
15/12/2006 22:37 6ÿ397ÿ954 IconCache.db
4 fichier(s) 6ÿ458ÿ538 octets
10 R‚p(s) 20ÿ621ÿ070ÿ336 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\All Users\Application Data
07/12/2006 13:43 <REP> .
07/12/2006 13:43 <REP> ..
23/01/2007 17:37 <REP> Adobe
15/12/2006 18:07 <REP> Apple Computer
20/01/2007 15:37 <REP> CAST FLAW DENT 64
07/12/2006 15:48 <REP> Google
07/12/2006 13:43 <REP> Microsoft
12/01/2007 18:41 <REP> Sony Ericsson
25/01/2007 12:54 <REP> Spybot - Search & Destroy
07/12/2006 15:11 <REP> Symantec
15/12/2006 18:03 <REP> Windows Genuine Advantage
07/12/2006 13:43 62 desktop.ini
16/12/2006 14:30 839 hpzinstall.log
2 fichier(s) 901 octets
11 R‚p(s) 20ÿ621ÿ070ÿ336 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\Default User\Application Data
07/12/2006 13:43 <REP> .
07/12/2006 13:43 <REP> ..
07/12/2006 13:43 <REP> Microsoft
07/12/2006 13:43 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 20ÿ621ÿ070ÿ336 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\Default User\Local Settings\Application Data
07/12/2006 13:43 <REP> .
07/12/2006 13:43 <REP> ..
0 fichier(s) 0 octets
2 R‚p(s) 20ÿ621ÿ070ÿ336 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\LocalService\Application Data
07/12/2006 13:58 <REP> .
07/12/2006 13:58 <REP> ..
26/01/2007 10:46 <REP> Google
07/12/2006 13:58 <REP> Microsoft
0 fichier(s) 0 octets
4 R‚p(s) 20ÿ621ÿ066ÿ240 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\LocalService\Local Settings\Application Data
07/12/2006 13:58 <REP> .
07/12/2006 13:58 <REP> ..
30/01/2007 10:40 <REP> Google
07/12/2006 13:58 <REP> Microsoft
0 fichier(s) 0 octets
4 R‚p(s) 20ÿ621ÿ066ÿ240 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\NetworkService\Application Data
07/12/2006 13:58 <REP> .
07/12/2006 13:58 <REP> ..
25/01/2007 21:57 <REP> Google
07/12/2006 13:58 <REP> Microsoft
0 fichier(s) 0 octets
4 R‚p(s) 20ÿ621ÿ066ÿ240 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\NetworkService\Local Settings\Application Data
07/12/2006 13:58 <REP> .
07/12/2006 13:58 <REP> ..
07/12/2006 13:58 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 20ÿ621ÿ066ÿ240 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\WINDOWS\system32\config\systemprofile\Application Data
07/12/2006 13:57 <REP> .
07/12/2006 13:57 <REP> ..
07/12/2006 13:57 <REP> Microsoft
07/12/2006 13:57 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 20ÿ621ÿ066ÿ240 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data
07/12/2006 13:57 <REP> .
07/12/2006 13:57 <REP> ..
25/01/2007 21:57 <REP> Google
0 fichier(s) 0 octets
3 R‚p(s) 20ÿ621ÿ066ÿ240 octets libres
******************************************
Recherche des taches planifiées dans D:\WINDOWS\tasks
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\WINDOWS\Tasks
30/01/2007 13:50 300 XoftSpy.job
20/01/2007 15:37 260 AAA93727917AAC33.job
07/12/2006 15:14 412 Symantec NetDetect.job
07/12/2006 15:14 500 Norton AntiVirus - Analyser mon ordinateur.job
07/12/2006 13:55 6 SA.DAT
07/12/2006 13:53 65 desktop.ini
07/12/2006 13:53 <REP> ..
07/12/2006 13:53 <REP> .
6 fichier(s) 1ÿ543 octets
2 R‚p(s) 20ÿ621ÿ066ÿ240 octets libres
******************************************
## Répertoires de Program files
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Program Files
31/01/2007 12:54 <REP> .
31/01/2007 12:54 <REP> ..
20/12/2006 14:14 <REP> ABIT
20/01/2007 14:40 <REP> Active GIF Creator 2.23
09/01/2007 11:55 <REP> Adobe
24/12/2006 17:34 <REP> Capturino 1.4
13/12/2006 19:15 <REP> CCleaner
07/12/2006 13:52 <REP> ComPlus Applications
25/01/2007 13:44 <REP> Cookies
07/12/2006 18:49 <REP> Core Design
15/12/2006 17:06 <REP> DivX
25/01/2007 14:22 <REP> EMCO Malware Destroyer
21/01/2007 16:45 <REP> eMule
31/01/2007 12:54 <REP> Fichiers communs
08/12/2006 12:57 <REP> File Scavenger 3.0
30/01/2007 10:42 <REP> Google
30/01/2007 11:36 <REP> Grisoft
09/01/2007 14:28 <REP> HandyBits
08/12/2006 19:34 <REP> Hercules
16/12/2006 14:35 <REP> Hewlett-Packard
20/01/2007 15:36 <REP> HIDE INFO NAME
28/12/2006 11:38 <REP> House of Tales
16/12/2006 14:37 <REP> HP
25/01/2007 13:46 <REP> IEasyCleaner
15/12/2006 15:40 <REP> InterActual
16/12/2006 14:34 <REP> Internet Explorer
15/12/2006 15:39 <REP> InterVideo
15/12/2006 15:39 <REP> InterVideo Information Service
07/12/2006 15:23 <REP> KIT_ADSL_USB
01/01/2004 00:06 <REP> Logitech
31/01/2007 12:53 <REP> Messenger
07/12/2006 13:55 <REP> microsoft frontpage
07/12/2006 15:23 <REP> modem ADSL USB
07/12/2006 14:24 <REP> Movie Maker
15/12/2006 16:40 <REP> MPlayerC
07/12/2006 13:52 <REP> MSN
07/12/2006 13:52 <REP> MSN Gaming Zone
02/01/2007 12:32 <REP> MSN Messenger
15/12/2006 15:40 <REP> MSXML 4.0
21/01/2007 15:57 <REP> Multi_Media
20/01/2007 15:39 <REP> Multi_Media_France
31/01/2007 12:51 <REP> NetMeeting
17/01/2007 17:27 <REP> Norton AntiVirus
07/12/2006 14:13 <REP> NVIDIA Corporation
31/01/2007 12:46 <REP> Outlook Express
25/01/2007 13:47 <REP> PrivacyEraser Computing
15/12/2006 18:14 <REP> QuickTime
15/12/2006 18:09 <REP> Real
11/12/2006 17:42 <REP> Rockstar Games
12/01/2007 22:16 <REP> SCi
13/01/2007 17:16 <REP> SCi Games
07/12/2006 13:54 <REP> Services en ligne
02/01/2007 17:45 <REP> SlySoft
12/01/2007 18:41 <REP> Sony Ericsson
26/01/2007 13:07 <REP> Spybot - Search & Destroy
13/01/2007 18:27 <REP> STARWAR RC
07/12/2006 15:42 <REP> Symantec
07/12/2006 15:37 <REP> SymNetDrv
21/01/2007 15:57 <REP> s?curity
12/01/2007 21:39 <REP> torrent_search
25/01/2007 14:18 <REP> TraceSurf
31/01/2007 12:49 <REP> Windows Media Player
07/12/2006 13:52 <REP> Windows NT
15/12/2006 15:15 <REP> WinRAR
13/12/2006 15:31 <REP> WinZip
07/12/2006 13:55 <REP> xerox
0 fichier(s) 0 octets
66 R‚p(s) 20ÿ621ÿ062ÿ144 octets libres
******************************************
## Popups autorisées
* Internet Explorer
* Mozilla Firefox (1 autorisé 2 interdit)
******************************************
## Registre
* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
FAST SECT REG_SZ D:\DOCUME~1\admin\APPLIC~1\HIDEIN~1\sendsoapfunk.exe
******************************************
## Zones de sécurité
* HKCU Domains (4)
* P3P History (5)
******************************************
## Recherche D:\WINDOWS\*.htm, "D:\WINDOWS\*.gif"
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\WINDOWS
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\WINDOWS
*************** Fin du rapport ****************
y'a 1 iexplore.exe qui est à 44MO.. il a l'air de gonfler, et j'ai des pub intempestives au fait, pleins, j'ai aussi MSN 7.5
voilà le log de lopxpMH2 :
Rapport fait à 14:25:23,95 le 31/01/2007
******************************************
## Répertoires Application Data
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\admin\Application Data
07/12/2006 14:00 <REP> .
07/12/2006 14:00 <REP> ..
07/12/2006 16:10 <REP> Adobe
07/12/2006 16:10 <REP> AdobeUM
17/01/2007 12:35 <REP> Apple Computer
08/12/2006 19:38 <REP> ArcSoft
20/01/2007 15:37 <REP> BitDownload
15/12/2006 22:17 <REP> DivX
07/12/2006 15:48 <REP> Google
17/01/2007 17:20 <REP> Help
20/01/2007 15:36 <REP> HIDE INFO NAME
07/12/2006 14:00 <REP> Identities
15/12/2006 15:41 <REP> InterVideo
07/12/2006 15:46 <REP> Macromedia
07/12/2006 14:00 <REP> Microsoft
15/12/2006 18:08 <REP> Real
07/12/2006 15:11 <REP> Symantec
20/01/2007 16:14 <REP> ??crosoft
07/12/2006 14:00 62 desktop.ini
1 fichier(s) 62 octets
18 R‚p(s) 20ÿ621ÿ070ÿ336 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\admin\Local Settings\Application Data
07/12/2006 14:00 <REP> .
07/12/2006 14:00 <REP> ..
07/12/2006 16:10 <REP> Adobe
16/12/2006 14:39 <REP> ApplicationHistory
07/12/2006 15:48 <REP> Google
17/01/2007 17:20 <REP> Help
16/12/2006 14:39 <REP> HP
04/01/2007 16:52 <REP> Identities
16/12/2006 14:40 <REP> IsolatedStorage
07/12/2006 14:00 <REP> Microsoft
08/12/2006 14:56 48ÿ128 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
16/12/2006 14:39 128 fusioncache.dat
15/12/2006 15:41 12ÿ328 GDIPFONTCACHEV1.DAT
15/12/2006 22:37 6ÿ397ÿ954 IconCache.db
4 fichier(s) 6ÿ458ÿ538 octets
10 R‚p(s) 20ÿ621ÿ070ÿ336 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\All Users\Application Data
07/12/2006 13:43 <REP> .
07/12/2006 13:43 <REP> ..
23/01/2007 17:37 <REP> Adobe
15/12/2006 18:07 <REP> Apple Computer
20/01/2007 15:37 <REP> CAST FLAW DENT 64
07/12/2006 15:48 <REP> Google
07/12/2006 13:43 <REP> Microsoft
12/01/2007 18:41 <REP> Sony Ericsson
25/01/2007 12:54 <REP> Spybot - Search & Destroy
07/12/2006 15:11 <REP> Symantec
15/12/2006 18:03 <REP> Windows Genuine Advantage
07/12/2006 13:43 62 desktop.ini
16/12/2006 14:30 839 hpzinstall.log
2 fichier(s) 901 octets
11 R‚p(s) 20ÿ621ÿ070ÿ336 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\Default User\Application Data
07/12/2006 13:43 <REP> .
07/12/2006 13:43 <REP> ..
07/12/2006 13:43 <REP> Microsoft
07/12/2006 13:43 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 20ÿ621ÿ070ÿ336 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\Default User\Local Settings\Application Data
07/12/2006 13:43 <REP> .
07/12/2006 13:43 <REP> ..
0 fichier(s) 0 octets
2 R‚p(s) 20ÿ621ÿ070ÿ336 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\LocalService\Application Data
07/12/2006 13:58 <REP> .
07/12/2006 13:58 <REP> ..
26/01/2007 10:46 <REP> Google
07/12/2006 13:58 <REP> Microsoft
0 fichier(s) 0 octets
4 R‚p(s) 20ÿ621ÿ066ÿ240 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\LocalService\Local Settings\Application Data
07/12/2006 13:58 <REP> .
07/12/2006 13:58 <REP> ..
30/01/2007 10:40 <REP> Google
07/12/2006 13:58 <REP> Microsoft
0 fichier(s) 0 octets
4 R‚p(s) 20ÿ621ÿ066ÿ240 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\NetworkService\Application Data
07/12/2006 13:58 <REP> .
07/12/2006 13:58 <REP> ..
25/01/2007 21:57 <REP> Google
07/12/2006 13:58 <REP> Microsoft
0 fichier(s) 0 octets
4 R‚p(s) 20ÿ621ÿ066ÿ240 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Documents and Settings\NetworkService\Local Settings\Application Data
07/12/2006 13:58 <REP> .
07/12/2006 13:58 <REP> ..
07/12/2006 13:58 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 20ÿ621ÿ066ÿ240 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\WINDOWS\system32\config\systemprofile\Application Data
07/12/2006 13:57 <REP> .
07/12/2006 13:57 <REP> ..
07/12/2006 13:57 <REP> Microsoft
07/12/2006 13:57 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 20ÿ621ÿ066ÿ240 octets libres
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data
07/12/2006 13:57 <REP> .
07/12/2006 13:57 <REP> ..
25/01/2007 21:57 <REP> Google
0 fichier(s) 0 octets
3 R‚p(s) 20ÿ621ÿ066ÿ240 octets libres
******************************************
Recherche des taches planifiées dans D:\WINDOWS\tasks
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\WINDOWS\Tasks
30/01/2007 13:50 300 XoftSpy.job
20/01/2007 15:37 260 AAA93727917AAC33.job
07/12/2006 15:14 412 Symantec NetDetect.job
07/12/2006 15:14 500 Norton AntiVirus - Analyser mon ordinateur.job
07/12/2006 13:55 6 SA.DAT
07/12/2006 13:53 65 desktop.ini
07/12/2006 13:53 <REP> ..
07/12/2006 13:53 <REP> .
6 fichier(s) 1ÿ543 octets
2 R‚p(s) 20ÿ621ÿ066ÿ240 octets libres
******************************************
## Répertoires de Program files
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\Program Files
31/01/2007 12:54 <REP> .
31/01/2007 12:54 <REP> ..
20/12/2006 14:14 <REP> ABIT
20/01/2007 14:40 <REP> Active GIF Creator 2.23
09/01/2007 11:55 <REP> Adobe
24/12/2006 17:34 <REP> Capturino 1.4
13/12/2006 19:15 <REP> CCleaner
07/12/2006 13:52 <REP> ComPlus Applications
25/01/2007 13:44 <REP> Cookies
07/12/2006 18:49 <REP> Core Design
15/12/2006 17:06 <REP> DivX
25/01/2007 14:22 <REP> EMCO Malware Destroyer
21/01/2007 16:45 <REP> eMule
31/01/2007 12:54 <REP> Fichiers communs
08/12/2006 12:57 <REP> File Scavenger 3.0
30/01/2007 10:42 <REP> Google
30/01/2007 11:36 <REP> Grisoft
09/01/2007 14:28 <REP> HandyBits
08/12/2006 19:34 <REP> Hercules
16/12/2006 14:35 <REP> Hewlett-Packard
20/01/2007 15:36 <REP> HIDE INFO NAME
28/12/2006 11:38 <REP> House of Tales
16/12/2006 14:37 <REP> HP
25/01/2007 13:46 <REP> IEasyCleaner
15/12/2006 15:40 <REP> InterActual
16/12/2006 14:34 <REP> Internet Explorer
15/12/2006 15:39 <REP> InterVideo
15/12/2006 15:39 <REP> InterVideo Information Service
07/12/2006 15:23 <REP> KIT_ADSL_USB
01/01/2004 00:06 <REP> Logitech
31/01/2007 12:53 <REP> Messenger
07/12/2006 13:55 <REP> microsoft frontpage
07/12/2006 15:23 <REP> modem ADSL USB
07/12/2006 14:24 <REP> Movie Maker
15/12/2006 16:40 <REP> MPlayerC
07/12/2006 13:52 <REP> MSN
07/12/2006 13:52 <REP> MSN Gaming Zone
02/01/2007 12:32 <REP> MSN Messenger
15/12/2006 15:40 <REP> MSXML 4.0
21/01/2007 15:57 <REP> Multi_Media
20/01/2007 15:39 <REP> Multi_Media_France
31/01/2007 12:51 <REP> NetMeeting
17/01/2007 17:27 <REP> Norton AntiVirus
07/12/2006 14:13 <REP> NVIDIA Corporation
31/01/2007 12:46 <REP> Outlook Express
25/01/2007 13:47 <REP> PrivacyEraser Computing
15/12/2006 18:14 <REP> QuickTime
15/12/2006 18:09 <REP> Real
11/12/2006 17:42 <REP> Rockstar Games
12/01/2007 22:16 <REP> SCi
13/01/2007 17:16 <REP> SCi Games
07/12/2006 13:54 <REP> Services en ligne
02/01/2007 17:45 <REP> SlySoft
12/01/2007 18:41 <REP> Sony Ericsson
26/01/2007 13:07 <REP> Spybot - Search & Destroy
13/01/2007 18:27 <REP> STARWAR RC
07/12/2006 15:42 <REP> Symantec
07/12/2006 15:37 <REP> SymNetDrv
21/01/2007 15:57 <REP> s?curity
12/01/2007 21:39 <REP> torrent_search
25/01/2007 14:18 <REP> TraceSurf
31/01/2007 12:49 <REP> Windows Media Player
07/12/2006 13:52 <REP> Windows NT
15/12/2006 15:15 <REP> WinRAR
13/12/2006 15:31 <REP> WinZip
07/12/2006 13:55 <REP> xerox
0 fichier(s) 0 octets
66 R‚p(s) 20ÿ621ÿ062ÿ144 octets libres
******************************************
## Popups autorisées
* Internet Explorer
* Mozilla Firefox (1 autorisé 2 interdit)
******************************************
## Registre
* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
FAST SECT REG_SZ D:\DOCUME~1\admin\APPLIC~1\HIDEIN~1\sendsoapfunk.exe
******************************************
## Zones de sécurité
* HKCU Domains (4)
* P3P History (5)
******************************************
## Recherche D:\WINDOWS\*.htm, "D:\WINDOWS\*.gif"
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\WINDOWS
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 8C03-AADB
R‚pertoire de D:\WINDOWS
*************** Fin du rapport ****************
y'a 1 iexplore.exe qui est à 44MO.. il a l'air de gonfler, et j'ai des pub intempestives au fait, pleins, j'ai aussi MSN 7.5
Re
Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer
1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.zip
2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.
3 Relance un scan HijackThis et coche les lignes ci-dessous :
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {71108984-4361-19BB-3C25-19E4CEB2E89B} - blank (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HP Software Update] "D:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [FAST SECT] D:\DOCUME~1\admin\APPLIC~1\HIDEIN~1\sendsoapfunk.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/15b48bcbf58149b76216/netzip/RdxIE601_fr.cab
O23 - Service: Network Provisioning DDE - Unknown owner - D:\WINDOWS\system32\lsass.com
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
5 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
Dans la liste des services, cherche et sélectionne
"NNetwork Provisioning DDE" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "D:\WINDOWS\system32\lsass.com" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
6 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
D:\Program Files\s?curity
D:\Program Files\HIDE INFO NAME
D:\Documents and Settings\admin\Application Data\HIDE INFO NAME
D:\Documents and Settings\admin\Application Data\??crosoft
D:\Documents and Settings\All Users\Application Data\CAST FLAW DENT 64
D:\WINDOWS\Tasks\AAA93727917AAC33.job
D:\WINDOWS\system32\lsass.com
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
7 Lance le nettoyage avec CCleaner
8 Fais un clic droit sur SDFix.zip et choisis "Extraire tout"
Double-clique sur RunThis.bat
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer
Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche
Ouvre le dossier SDFix et copie/colle ici le contenu du fichier "Report.txt" avec un nouveau HijackThis.
Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer
1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.zip
2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.
3 Relance un scan HijackThis et coche les lignes ci-dessous :
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {71108984-4361-19BB-3C25-19E4CEB2E89B} - blank (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HP Software Update] "D:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [FAST SECT] D:\DOCUME~1\admin\APPLIC~1\HIDEIN~1\sendsoapfunk.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/15b48bcbf58149b76216/netzip/RdxIE601_fr.cab
O23 - Service: Network Provisioning DDE - Unknown owner - D:\WINDOWS\system32\lsass.com
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer
5 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
Dans la liste des services, cherche et sélectionne
"NNetwork Provisioning DDE" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "D:\WINDOWS\system32\lsass.com" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
6 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
D:\Program Files\s?curity
D:\Program Files\HIDE INFO NAME
D:\Documents and Settings\admin\Application Data\HIDE INFO NAME
D:\Documents and Settings\admin\Application Data\??crosoft
D:\Documents and Settings\All Users\Application Data\CAST FLAW DENT 64
D:\WINDOWS\Tasks\AAA93727917AAC33.job
D:\WINDOWS\system32\lsass.com
Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
7 Lance le nettoyage avec CCleaner
8 Fais un clic droit sur SDFix.zip et choisis "Extraire tout"
Double-clique sur RunThis.bat
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer
Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche
Ouvre le dossier SDFix et copie/colle ici le contenu du fichier "Report.txt" avec un nouveau HijackThis.
me revoilà, j'ai fait tout ce que tu m'as dit ci-dessus sans souci, voilà donc les deux rapports que tu m'as demandé :
Logfile of HijackThis v1.99.1
Scan saved at 16:44:23, on 31/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\wuauclt.exe
D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe
D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\admin\Mes documents\ANTVIRUS-SPYWARE\Scanner.exe.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NVMixerTray] "D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] D:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [FAST SECT] D:\DOCUME~1\admin\APPLIC~1\HIDEIN~1\sendsoapfunk.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109w.bay109.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {934F119A-B163-4306-835A-94BABA1B272A} (VacPro.int_ver43v) - http://advnt01.com/dialer/intES_ver43v.CAB
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
******************************************************
SDFix: Version 1.63
31/01/2007 - 16:37:25,31
Microsoft Windows XP [version 5.1.2600]
Running From: D:\Documents and Settings\admin\Mes documents\ANTVIRUS-SPYWARE\PROGS\SDFix\SDFix\SDFix
Safe Mode:
Checking Services:
Name:
COM+ Messages
Path:
"D:\WINDOWS\System32\svchosts.exe" -e te-110-12-0000307
COM+ Messages Deleted
Restoring Windows Registry Entries
Restoring Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
No Trojan Files Found..
ADS Check:
D:\WINDOWS\system32
No streams found.
Final Check:
Remaining Services:
------------------
Remaining Files:
---------------
Backups Folder: - D:\DOCUME~1\admin\MESDOC~1\ANTVIR~2\PROGS\SDFix\SDFix\SDFix\backups\backups.zip
Checking For Files with Hidden Attributes :
Finished
*********************************************
qu'en penses-tu ?
Logfile of HijackThis v1.99.1
Scan saved at 16:44:23, on 31/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\wuauclt.exe
D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe
D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\admin\Mes documents\ANTVIRUS-SPYWARE\Scanner.exe.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NVMixerTray] "D:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] D:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [FAST SECT] D:\DOCUME~1\admin\APPLIC~1\HIDEIN~1\sendsoapfunk.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109w.bay109.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {934F119A-B163-4306-835A-94BABA1B272A} (VacPro.int_ver43v) - http://advnt01.com/dialer/intES_ver43v.CAB
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
******************************************************
SDFix: Version 1.63
31/01/2007 - 16:37:25,31
Microsoft Windows XP [version 5.1.2600]
Running From: D:\Documents and Settings\admin\Mes documents\ANTVIRUS-SPYWARE\PROGS\SDFix\SDFix\SDFix
Safe Mode:
Checking Services:
Name:
COM+ Messages
Path:
"D:\WINDOWS\System32\svchosts.exe" -e te-110-12-0000307
COM+ Messages Deleted
Restoring Windows Registry Entries
Restoring Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
No Trojan Files Found..
ADS Check:
D:\WINDOWS\system32
No streams found.
Final Check:
Remaining Services:
------------------
Remaining Files:
---------------
Backups Folder: - D:\DOCUME~1\admin\MESDOC~1\ANTVIR~2\PROGS\SDFix\SDFix\SDFix\backups\backups.zip
Checking For Files with Hidden Attributes :
Finished
*********************************************
qu'en penses-tu ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re
Relance HijackThis et fixe ces lignes
O4 - HKCU\..\Run: [FAST SECT] D:\DOCUME~1\admin\APPLIC~1\HIDEIN~1\sendsoapfunk.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109w.bay109.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {934F119A-B163-4306-835A-94BABA1B272A} (VacPro.int_ver43v) - http://advnt01.com/dialer/intES_ver43v.CAB
Fais une analyse antivirus en ligne sur Kaspersky
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.
Relance HijackThis et fixe ces lignes
O4 - HKCU\..\Run: [FAST SECT] D:\DOCUME~1\admin\APPLIC~1\HIDEIN~1\sendsoapfunk.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109w.bay109.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {934F119A-B163-4306-835A-94BABA1B272A} (VacPro.int_ver43v) - http://advnt01.com/dialer/intES_ver43v.CAB
Fais une analyse antivirus en ligne sur Kaspersky
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.
Salut chercheurbis, pour l'instant les 3 iexplore.exe au demmarrage pc ont disparu et + de fenetre intempestive quand je suis connecté; je t'en remercie dejà
je vais donc faire ce que tu viens de me dire
Je tiens aussi à te signaler o passage que avant j'avais XP sur C: mais en telechargeant servicPack2 sur le site windowsUpdate mon pc a planté il y a deux mois et plus moyen de le relancer meme en mode sans echec, restauration, derniere bonne configuration, j'ai tt essayé rien à faire
j'ai donc creer 1 nouvelle partition et tout reinstaller, j'ai acces au C: j'ai pu recuperer mes photos vidéos etc...
je t'envoie le rapport kapersky d'ici peu car c long
je vais donc faire ce que tu viens de me dire
Je tiens aussi à te signaler o passage que avant j'avais XP sur C: mais en telechargeant servicPack2 sur le site windowsUpdate mon pc a planté il y a deux mois et plus moyen de le relancer meme en mode sans echec, restauration, derniere bonne configuration, j'ai tt essayé rien à faire
j'ai donc creer 1 nouvelle partition et tout reinstaller, j'ai acces au C: j'ai pu recuperer mes photos vidéos etc...
je t'envoie le rapport kapersky d'ici peu car c long
