Après désinfection spyware, pour être nickel
Résolu
darkaeons
Messages postés
4
Statut
Membre
-
kris6943 Messages postés 1517 Statut Membre -
kris6943 Messages postés 1517 Statut Membre -
Bonjour à tous !
La semaine dernière j'ai été infecté par ultimate defender et nettoyeur de PC. J'ai entre autres perdu toutes mes licences de WMP, et je pense que c'est lié.
Pour ma désinfection je me suis aidé de vos conseils déjà existants et j'ai utilisé smitfraudfix et avg antispywares en mode sans échec.
Tout est revenu à la normale mis à part :
- erreur sur p2esocks_1030.dll au démarrage : encore sur des conseils existants je suis passé en démarrage "sélectif"
- j'ai encore de temps en temps une alerte de ultimate defender ou consor
- je trouve systématiquement des cookies infectés lors de mes analyses antivirus
D'autre part, j'ai un message d'erreur lorsque je veux lire mes fichiers musicaux/vidéos prétégés par DRM, même avec des nouveaux fichiers (que je viens d'acheter). J'ai pourtant déjà supprimé le dossier allusers/drm et réinstallé complètement WMP 11 (avec runtime). Je ne sais pas si ce problème est lié à mon virus, mais si vous avez une idée de ce que je dois faire, ce serait avec plaisir :)
Enfin je tombe au démarrage sur la sélection de session (alors qu'il n'y en a qu'une) alors que ce n'était pas le cas avant et le PC est très long à démarrer.
Si vous pouviez examiner mon cas et m'aider à compléter la désinfection et à optimiser un peu tout ça, je vous en serais très reconnaissant !
Je vous joins un rapport Hijackthis et un rapport smitfraudfix. Je précise que je n'ai pas d'imprimante ou de logiciel epson (j'ai cru voir une ligne epson dans le rapport).
http://www.eclairdesdunes.com/pascal/hijackthis.txt
http://www.eclairdesdunes.com/pascal/rapportsmitfraudfix.txt
La semaine dernière j'ai été infecté par ultimate defender et nettoyeur de PC. J'ai entre autres perdu toutes mes licences de WMP, et je pense que c'est lié.
Pour ma désinfection je me suis aidé de vos conseils déjà existants et j'ai utilisé smitfraudfix et avg antispywares en mode sans échec.
Tout est revenu à la normale mis à part :
- erreur sur p2esocks_1030.dll au démarrage : encore sur des conseils existants je suis passé en démarrage "sélectif"
- j'ai encore de temps en temps une alerte de ultimate defender ou consor
- je trouve systématiquement des cookies infectés lors de mes analyses antivirus
D'autre part, j'ai un message d'erreur lorsque je veux lire mes fichiers musicaux/vidéos prétégés par DRM, même avec des nouveaux fichiers (que je viens d'acheter). J'ai pourtant déjà supprimé le dossier allusers/drm et réinstallé complètement WMP 11 (avec runtime). Je ne sais pas si ce problème est lié à mon virus, mais si vous avez une idée de ce que je dois faire, ce serait avec plaisir :)
Enfin je tombe au démarrage sur la sélection de session (alors qu'il n'y en a qu'une) alors que ce n'était pas le cas avant et le PC est très long à démarrer.
Si vous pouviez examiner mon cas et m'aider à compléter la désinfection et à optimiser un peu tout ça, je vous en serais très reconnaissant !
Je vous joins un rapport Hijackthis et un rapport smitfraudfix. Je précise que je n'ai pas d'imprimante ou de logiciel epson (j'ai cru voir une ligne epson dans le rapport).
http://www.eclairdesdunes.com/pascal/hijackthis.txt
http://www.eclairdesdunes.com/pascal/rapportsmitfraudfix.txt
A voir également:
- Après désinfection spyware, pour être nickel
- Spyware doctor - Télécharger - Antivirus & Antimalwares
- Spyware terminator - Télécharger - Antivirus & Antimalwares
- Spyware blaster - Télécharger - Antivirus & Antimalwares
- Anti spyware gratuit - Télécharger - Antivirus & Antimalwares
- Anti spyware - Télécharger - Antivirus & Antimalwares
42 réponses
tu as tout ça qui est pernicieux dans ton log
O4 - HKLM\..\Run: [il mio dolce tesoro] monycom.exe
O4 - HKLM\..\Run: [Windows Update Process] wmiprvsc.exe
O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [IFSplash] ImmSplsh.exe
O4 - HKLM\..\RunServices: [Windows cfg] ascv.exe
O4 - HKCU\..\Run: [Windows Update Process] wmiprvsc.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1030.dll,InstantAccess
je confirme le moyen proposé par Philae
ca devrait aller beaucoup mieux ensuite
O4 - HKLM\..\Run: [il mio dolce tesoro] monycom.exe
O4 - HKLM\..\Run: [Windows Update Process] wmiprvsc.exe
O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [IFSplash] ImmSplsh.exe
O4 - HKLM\..\RunServices: [Windows cfg] ascv.exe
O4 - HKCU\..\Run: [Windows Update Process] wmiprvsc.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1030.dll,InstantAccess
je confirme le moyen proposé par Philae
ca devrait aller beaucoup mieux ensuite
voici le rapport de navilog :
http://www.eclairdesdunes.com/pascal/fixnavi.txt
J'ai suivi la manip de balltrap mais je n'ai trouvé aucun des fichiers qu'il demande de chercher.
Toujours pas de trace de monycom.exe
Je dois supprimer toutes les lignes dont tu parles Kris ?
http://www.eclairdesdunes.com/pascal/fixnavi.txt
J'ai suivi la manip de balltrap mais je n'ai trouvé aucun des fichiers qu'il demande de chercher.
Toujours pas de trace de monycom.exe
Je dois supprimer toutes les lignes dont tu parles Kris ?
Je dois supprimer toutes les lignes dont tu parles Kris ?
NON pas pour le moment
passes a l'etape 2 de navilog
puis ramene le rapport ainsi qu'un nouvel hijackthis
NON pas pour le moment
passes a l'etape 2 de navilog
puis ramene le rapport ainsi qu'un nouvel hijackthis
http://www.eclairdesdunes.com/pascal/cleanavi1009.txt
http://www.eclairdesdunes.com/pascal/hijackthis1009.txt
voilà
http://www.eclairdesdunes.com/pascal/hijackthis1009.txt
voilà
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
navilog a bien travaillé
tu peux maintenant le desinstaller par la voie normale
fixes ces lignes avec hijackthis
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O23 - Service: Windows cfg (a3) - Unknown owner - C:\WINDOWS\System32\ascv.exe (file missing)
O23 - Service: Remote Manager Sharing (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)
ainsi que cela (mais uniquement si tu n'en connais pas l'origine)
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version4/Applet/vchatsign.cab
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://www.mayeticvillage.fr/qp2.cab
O16 - DPF: {5DDCC37F-7C6B-48B8-9664-97C537920CA0} (aecviz Class) - http://www.maisonfamiliale.com/AECVIZ/npaecviz.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
Mais tu as une autre infection je recherche les moyens de la combattre et je reviens
tu peux maintenant le desinstaller par la voie normale
fixes ces lignes avec hijackthis
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O23 - Service: Windows cfg (a3) - Unknown owner - C:\WINDOWS\System32\ascv.exe (file missing)
O23 - Service: Remote Manager Sharing (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)
ainsi que cela (mais uniquement si tu n'en connais pas l'origine)
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version4/Applet/vchatsign.cab
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://www.mayeticvillage.fr/qp2.cab
O16 - DPF: {5DDCC37F-7C6B-48B8-9664-97C537920CA0} (aecviz Class) - http://www.maisonfamiliale.com/AECVIZ/npaecviz.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
Mais tu as une autre infection je recherche les moyens de la combattre et je reviens
quand tu as fais ce que j'ai dit au post N°25 tu peux passer à cela
on va essayer la méthode douce pour commencer
va dans msconfig et décoches toutes les 6 lignes ou apparait ceci en gras (si ça apparait...)
nota : les petits points ............. c'est moi qui les ait ajoutés mais en fait ils remplacent n'importe quoi
pour y aller dans "executer" tu tapes msconfig
puis tu vas dans l'onglet démarrage
HKLM\..\Run ............ ImmSplsh.exe
HKLM\..\Run: ............. ascv.exe
HKLM\..\Run: .................monycom.exe
HKLM\..\RunServices: .......... wmiprvsc.exe
HKLM\..\RunServices:.......... ascv.exe
HKCU\..\Run:................. wmiprvsc.exe
puis tu valides par OK et tu redémarres
puis tu reviens et tu fais un nouveau log hijackthis
on va essayer la méthode douce pour commencer
va dans msconfig et décoches toutes les 6 lignes ou apparait ceci en gras (si ça apparait...)
nota : les petits points ............. c'est moi qui les ait ajoutés mais en fait ils remplacent n'importe quoi
pour y aller dans "executer" tu tapes msconfig
puis tu vas dans l'onglet démarrage
HKLM\..\Run ............ ImmSplsh.exe
HKLM\..\Run: ............. ascv.exe
HKLM\..\Run: .................monycom.exe
HKLM\..\RunServices: .......... wmiprvsc.exe
HKLM\..\RunServices:.......... ascv.exe
HKCU\..\Run:................. wmiprvsc.exe
puis tu valides par OK et tu redémarres
puis tu reviens et tu fais un nouveau log hijackthis
voilà qui est fait :
http://www.eclairdesdunes.com/pascal/hijackthis1009bis.txt
et je n'ai eu aucune erreur au démarrage.
(je n'ai plus l'erreur pour p2esocks !!)
http://www.eclairdesdunes.com/pascal/hijackthis1009bis.txt
et je n'ai eu aucune erreur au démarrage.
(je n'ai plus l'erreur pour p2esocks !!)
par contre la ligne
O23 - Service: Remote Manager Sharing (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)
est revenue alors que j'avais bien effacé toutes les lignes que tu m'avais dites.
O23 - Service: Remote Manager Sharing (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)
est revenue alors que j'avais bien effacé toutes les lignes que tu m'avais dites.
fixe la ligne avec hijackthis elle est obsolete
O23 - Service: Remote Manager Sharing (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)
mais il y a toujours ça qui me déplait beaucoup plus
O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe ---> TROJAN eUniverse/KeenValue
O4 - HKLM\..\RunServices: [Windows Update Process] wmiprvsc.exe --> trojan W32/SDBOT-CB WORM!
es tu certain d'avoir décoché la ligne HKLM\..\RunServices: .......... wmiprvsc.exe dans msconfig?
même question pour: HKCU\..\Run:................. wmiprvsc.exe ?
sinon essaye un scan avec spybot et avec adaware telechargeables sur CCM rubrique systeme
pense a les mettre a jour avant de scanner (+ vaccination pour spybot)
O23 - Service: Remote Manager Sharing (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)
mais il y a toujours ça qui me déplait beaucoup plus
O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe ---> TROJAN eUniverse/KeenValue
O4 - HKLM\..\RunServices: [Windows Update Process] wmiprvsc.exe --> trojan W32/SDBOT-CB WORM!
es tu certain d'avoir décoché la ligne HKLM\..\RunServices: .......... wmiprvsc.exe dans msconfig?
même question pour: HKCU\..\Run:................. wmiprvsc.exe ?
sinon essaye un scan avec spybot et avec adaware telechargeables sur CCM rubrique systeme
pense a les mettre a jour avant de scanner (+ vaccination pour spybot)
Désolé pour le délai de réponse, mais j'ai repris le travail lundi alors...
j'ai fait un premier hijackthis ce matin :
http://www.darkaeons.fr/pascal/hijackthis1209.txt
les 2 lignes obsolètes 023 (ascv et svchost) étant présentes, je les ai (re)supprimées :
http://www.darkaeons.fr/pascal/hijackthis1209bis.txt
j'ai également fait un ccleaner et j'ai redémarré :
http://www.darkaeons.fr/pascal/hijackthis1209ter.txt
comme tu peux le voir les 2 lignes sont revenues...
voici un scan de mon msconfig, pour te montrer que j'ai bien désactivé wmiprvsc (il n'y a plus de runservices puisque run est désactivé ?)
http://www.darkaeons.fr/pascal/scanmsconfig.jpg
Je vais faire un scan spybot et adaware tout de suite.
j'ai fait un premier hijackthis ce matin :
http://www.darkaeons.fr/pascal/hijackthis1209.txt
les 2 lignes obsolètes 023 (ascv et svchost) étant présentes, je les ai (re)supprimées :
http://www.darkaeons.fr/pascal/hijackthis1209bis.txt
j'ai également fait un ccleaner et j'ai redémarré :
http://www.darkaeons.fr/pascal/hijackthis1209ter.txt
comme tu peux le voir les 2 lignes sont revenues...
voici un scan de mon msconfig, pour te montrer que j'ai bien désactivé wmiprvsc (il n'y a plus de runservices puisque run est désactivé ?)
http://www.darkaeons.fr/pascal/scanmsconfig.jpg
Je vais faire un scan spybot et adaware tout de suite.
Voilà j'ai fait spybot qui m'a trouvé des choses que j'ai supprimées :
http://www.darkaeons.fr/pascal/spybot.jpg
ainsi que adaware :
http://www.darkaeons.fr/pascal/logadaware.txt
j'ai fait tout ça mercredi et je viens de faire un hijackthis :
http://www.darkaeons.fr/pascal/hijackthis1309.txt
J'ai toujours les 4 programmes désactivés dans msconfig.
http://www.darkaeons.fr/pascal/spybot.jpg
ainsi que adaware :
http://www.darkaeons.fr/pascal/logadaware.txt
j'ai fait tout ça mercredi et je viens de faire un hijackthis :
http://www.darkaeons.fr/pascal/hijackthis1309.txt
J'ai toujours les 4 programmes désactivés dans msconfig.
ca a l'air d'avoir fait le plus grand bien le nettoyage adaware et spybot
essaye de fixer ces 3 lignes
O4 - HKLM\..\RunServices: [Windows Update Process] wmiprvsc.exe ---> trojan AGOBOT-HZ
fais également une recherche de wmiprvsc.exe
et supprimes le si tu le trouves
je remarques un truc bizarre. Cette ligne (ci dessous) lance ascv.exe
O4 - HKLM\..\RunServices: [Windows cfg] ascv.exe
or celle là indique que le fichier n'existe pas
O23 - Service: Windows cfg (a3) - Unknown owner - C:\WINDOWS\System32\ascv.exe (file missing)
bizarre bizarre!!!
essaye de refaire la manoeuvre de mon post n°1 (en mode sans échec) en axant cette fois ta recherche sur ascv.exe;wmiprvsc.exe (faire un copier coller)
essaye de fixer ces 3 lignes
O4 - HKLM\..\RunServices: [Windows Update Process] wmiprvsc.exe ---> trojan AGOBOT-HZ
fais également une recherche de wmiprvsc.exe
et supprimes le si tu le trouves
je remarques un truc bizarre. Cette ligne (ci dessous) lance ascv.exe
O4 - HKLM\..\RunServices: [Windows cfg] ascv.exe
or celle là indique que le fichier n'existe pas
O23 - Service: Windows cfg (a3) - Unknown owner - C:\WINDOWS\System32\ascv.exe (file missing)
bizarre bizarre!!!
essaye de refaire la manoeuvre de mon post n°1 (en mode sans échec) en axant cette fois ta recherche sur ascv.exe;wmiprvsc.exe (faire un copier coller)
Bonsoir,
ascv.exe
peut indiquer la présence d'un cheval de troie, peut être faire passer AVG AS ...???
ascv.exe
peut indiquer la présence d'un cheval de troie, peut être faire passer AVG AS ...???
Bonjour, voici le smitfraudfix d'hier soir :
http://www.darkaeons.fr/pascal/smitfraudfix.txt
et le hijackthis d'il y a un instant :
http://www.darkaeons.fr/pascal/hijackthis1509.txt
dans msconfig, j'ai toujours les 4 lignes désactivées.
Dans hijackthis, si je supprime ascv, ligne 23, elle n'est pas effacée, un hijackthis immédiatement après la montre encore.
J'ai avg asp depuis 2 semaines, il n'a jamais rien trouvé, mais je vais le lancer pour voir.
http://www.darkaeons.fr/pascal/smitfraudfix.txt
et le hijackthis d'il y a un instant :
http://www.darkaeons.fr/pascal/hijackthis1509.txt
dans msconfig, j'ai toujours les 4 lignes désactivées.
Dans hijackthis, si je supprime ascv, ligne 23, elle n'est pas effacée, un hijackthis immédiatement après la montre encore.
J'ai avg asp depuis 2 semaines, il n'a jamais rien trouvé, mais je vais le lancer pour voir.
désolé, erreur pour le lien du smitfraudfix :
http://www.darkaeons.fr/pascal/smitfraudfix1409.txt
Et merci encore pour votre aide jusque là, ça va faire deux semaines que vous m'aidez, c'est super sympa, et en plus ça a l'air de marcher. Cool
http://www.darkaeons.fr/pascal/smitfraudfix1409.txt
Et merci encore pour votre aide jusque là, ça va faire deux semaines que vous m'aidez, c'est super sympa, et en plus ça a l'air de marcher. Cool
Je viens de faire un ccleaner après avoir réactivé tous les services au démarrage (monycom, ascv et wmip... et immsplsch (qui s'est fait bloquer par mon parefeu))
j'ai fait un nettoyage windows, programmes (que je n'avais jamais fait), une analyse et correction des erreurs, et un scan du fichier de démarrage.
Apparemment je n'ai plus de trace de wmip... ni de monycom, par contre immsplch est toujours présent dans msconfig, en désactivé ( à cause du parefeu sans doute) et ascv apparaît toujours dans le hijackthis :
http://www.darkaeons.fr/pascal/hijackthis1509bis.txt
j'ai fait un nettoyage windows, programmes (que je n'avais jamais fait), une analyse et correction des erreurs, et un scan du fichier de démarrage.
Apparemment je n'ai plus de trace de wmip... ni de monycom, par contre immsplch est toujours présent dans msconfig, en désactivé ( à cause du parefeu sans doute) et ascv apparaît toujours dans le hijackthis :
http://www.darkaeons.fr/pascal/hijackthis1509bis.txt
pas grave qu'il apparaissent s'il ne selance plus
si tu veux que immsplch n'apparaisse plus dans msconfig, il faut aller dans la base de registre et le rechercher (et supprimer) de ces 3 clés (surtout la 1ère je pense)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
si tu veux que immsplch n'apparaisse plus dans msconfig, il faut aller dans la base de registre et le rechercher (et supprimer) de ces 3 clés (surtout la 1ère je pense)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Voilà qui est fait, plus aucune trace de immsplsh sur l'ordinateur, ni dans la base de registre, ni dans msconfig. Cool.
On dirait que c'est tout bon non ?
Serait-il possible de parler de mon problème avec windows media player ou faut-il que j'ouvre un sujet dans une autre rubrique ?
Quand j'essaye d'ouvrir un fichier avec DRM (même un nouveau fichier) j'ai le message d'erreur suivant :
"Le lecteur windows media a renctontré un problème lors de la lecture du fichier. Pour toute aide complémentaire, blablabla..."
avec une croix rouge à côté du fichier.
J'ai effacé le dossier de licences all.users/drm qui est toujours vide,
j'ai désinstallé WMP11 ainsi que Runtime et tout réinstallé plusieurs fois.
On dirait qu'il ne va même pas sur internet pour récupérer les licences qu'il n'a plus.
On dirait que c'est tout bon non ?
Serait-il possible de parler de mon problème avec windows media player ou faut-il que j'ouvre un sujet dans une autre rubrique ?
Quand j'essaye d'ouvrir un fichier avec DRM (même un nouveau fichier) j'ai le message d'erreur suivant :
"Le lecteur windows media a renctontré un problème lors de la lecture du fichier. Pour toute aide complémentaire, blablabla..."
avec une croix rouge à côté du fichier.
J'ai effacé le dossier de licences all.users/drm qui est toujours vide,
j'ai désinstallé WMP11 ainsi que Runtime et tout réinstallé plusieurs fois.
On dirait qu'il ne va même pas sur internet pour récupérer les licences qu'il n'a plus.
là j'avoue mon incompétence ...
pose plutot ta question dans le forum
logiciels pilotes
ou bien
audio numerique
tu auras plus de chances de trouver quelqu'un de compétent...
A+ et bon dimanche
pose plutot ta question dans le forum
logiciels pilotes
ou bien
audio numerique
tu auras plus de chances de trouver quelqu'un de compétent...
A+ et bon dimanche
