W32 Résolu/Fermé

Question

Bonjour,
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:25:06, on 06/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Philips ToUcam Camera\VProperty.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Live Toolbar\msn_sl.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://login.passport.com/login.srf?lc=1036
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [ToUcamVProperty] C:\Program Files\Philips ToUcam Camera\VProperty.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?861fcc46d59b4548a918d98d58b3c849
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?861fcc46d59b4548a918d98d58b3c849
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

Darckiller · Answer

Tu es infecté d'après ton log HJTH.

Salut à toi, suis ma démarche dans l'ordre:

-Tu fais un scan en ligne pour identifier les menaces présentes dans ton PC (http://pandasoftware.fr ),
 clique sur le bouton "Lancer TotalScan !" (vert foncé),
 coche l’option "Full Scan" sous le bouton "Scan Now" (vert foncé),
 clique sur le bouton "Scan Now",
 installe le Plug-in ou ActiveX demandé au préalable.
 
-Tu fais un scan avec HijackThis.
Pour faire un scan HJTH, il faut : 
télécharger ce programme (https://www.trendmicro.com/fr_fr/business.html ),
sur cette page choisis le programme : "Download Hijakcthis Installer" (en bleu clair), 
installe le sur ton PC.
Ouvre HJTH en cliquant sur l'icône nouvelle qui apparaît (un détective avec un chapeau rouge),  
cliques sur le bouton "Do a system scan and save a log file",
attends qu'il est fini le scan de ton PC,
une page de texte (généralement le bloc-note) s’ouvrent avec des lignes: c'est ton rapport ; 
copie et colle ce rapport sur un nouveau message. 

-Tu désactives l'Affichage des messages: 
Démarrer -> exécuter-> tape "services.msc" -> un menu s'ouvre: tu sélectionnes la ligne"Affichage des messages" dans la colonne Nom -> clique droit sur cette ligne -> choisis"propriétés"-> dans le panneau "Statut du service" clique sur arrêter -> puis dans le menu déroulant "Type de démarrage" choisis "Désactiver". 
L'affichage des messages est un services que certains pirates et autres personnes malintentionnées utilisent afin d'envoyer des messages publicitaires et des "pourriels" sur le réseau Internet. Ils gênent la navigation sur le Web et perturbent les activités en cours.
Si cela est déjà fait, c'est bien, ne touche à rien. 

-Tu désactives la Restauration du système Windows: 
Démarrer -> Panneau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet "Restauration du système" -> coche la case "Désactivé la restauration du système"
-> Clique sur le bouton "Appliquer" en bas -> Clique sur le bouton "Ok" en bas. 
En effet, certains virus se servent délibérément de la restauration du système afin de pouvoir se réactiver suite à une suppression.

-Soit tu télécharges Avast! (en français) (https://www.avast.com/fr-fr/free-antivirus-download ),
installe le programme,
mets-le à jour et actives la protection résidente (protection en temps réel) 
puis fais un scan minutieux et complet avec cet antivirus; 
une fois les malwares détectés mis en quarantaine,
va dans le menu quarantaine d'Avast!,
détruit les purement et simplement (ces fichiers on une tête de mort à coté de leur ligne).
Soit tu télécharges Avira Antivir PE 2007 (en anglais) (https://www.avira.com/ ), 
installe le programme,
mets-le à jour et actives la protection en temps réel,
puis fais un scan minutieux et complet avec cet antivirus,
supprimes les malwares détectés.
Avira Antivir PE 2007 est réputé plus efficace qu'Avast! (c'est à prouver plus clairement, donc j'emets des réserves sur ce point).
Règle d’or à respecter scrupuleusement: un seul antivirus principal par ordinateur.
Sauf si tu as déjà un antivirus valable et à jour, applique la même procédure (j'exclus Norton Antivirus de Symantec car il n'est pas efficace et sollicite exagérément les ressources de ton PC). 

-Tu fais un scan en ligne avec Securiser (http://www.secuser.com/ ),
supprimes les malwares ou infections trouvés; 
fais un scan en ligne avec Windows Live One Care (accepte le contrôle ActiveX ou le Plug-In lors de l'installation) (http://onecare.live.com/site/fr-FR/default.htm )
supprimes les malwares ou infections trouvés; 
un scan en ligne avec Trend Micro PC-Cillin (https://www.trendmicro.com/fr_fr/business.html ) 
et supprimes les malwares ou infections trouvés;
fais un scan en ligne avec Panda Security (https://www.pandasecurity.com/fr/homeusers/online-antivirus/?track=80379 )
supprimes les malwares ou infections trouvés;

-Tu télécharges Spybot S&D 1.51 (nouvelle version) (https://www.safer-networking.org/download/ ), 
Ad-Aware (http://www.lavasoftusa.com/products/ad_aware_free.php ) 
et A-Squared Free 3.0 (https://www.emsisoft.com/fr/ ),
installe chacun de ces antispywares, 
mets à jour chacun d'eux, 
puis fais un scan minutieux et complet de ton PC avec chacun d'eux, 
et supprime les problèmes qui vont s'affichés.

-Tu télécharges SDFix (http://mickael.barroux.free.fr/securite/sdfix.php ),
 suis scrupuleusement  la procédure du site,
 copie et colle le rapport dans un nouveau message.
 Ce programme va nettoyer certains fichiers sensibles scusceptibles d'être infectés (le fichier Host notamment).

-Tu télécharges CCleaner (https://filehippo.com/download_ccleaner/ ) la dernière version est celle juste à côté de la flèche verte,
installe le sur ton PC (lors de l'installation, au début, décoche la case Yahoo! mettant en place une barre d'outils).
Clique sur l'icône "Option" sur le côté gauche,
puis clique sur le bouton "Propriétés",
ne coche que la case "Effacement sécurisé du fichier (lent)",
puis dans le menu déroulant en dessous sélectionne "Effacement type NSA (7 passages)".
Clique maintenant sur le bouton "Avancé",
ne coche que la case "Enregistrer toutes les propriétés du fichier Ini".
Clique sur l'icône "Registre" sur le côté droit (petits cubes bleus),
coche la case à côté de "Intégrité du registre" (en bleu),
puis clique sur la touche "Chercher les erreurs" en bas à gauche,
une fois la barre du haut verte à 100 %, la recherche est terminée,
clique sur la touche "Réparer les erreurs sélectionnées" en bas à droite.
Clique ensuite sur l'icône "Nettoyeur" sur le côté droit (le pinceau),
coche toutes cases des onglets "Windows" et "Application",
clique sur le bouton "Analyse" en bas à gauche,
une fois la barre du haut verte à 100 %, l'analyse est terminée,
clique sur le bouton "Lancer le nettoyage" en bas à droite.

-Tu télécharges SpywareBlaster de Javacool Software (http://www.brightfort.com/spywareblaster.html ),
installe le sur ton PC,
mets le à jour en cliquant sur "Updates" dans le menu sur la colonne bleue à gauche,
clique sur le bouton "Check for Updates" en bas,
active la protection en cliquant sur "Enable All Protection" en bas dans le menu "Quick Tasks". 
Ce logiciel va empêcher les script malvaillants et les sites malwares d'attaquer ton PC en vaccinant ton disque dur et ton navigateur web. Il n'agit pas en temps réel et il n'a pas de scan.  

-Tu désactives le par-feu de Windows XP car il n'est pas fiable et ne protège que dans un seul sens ta connexion Internet:
 Démarrer -> Panneau de configuration (en mode catégorie) -> Centre de Sécurité (le bouclier aux couleurs Windows) -> Dans le menu "Gérer les paramètres de sécurité pour:", clique sur "Par-feu Windows"-> Coche l'option "Désactivé (non recommander)" (le bouclier rouge avec une croix) -> Clique sur le bouton "Ok" en bas.

-Soit tu télécharges ZoneAlarm Firewall (https://www.zonealarm.com/software/free-firewall ),
 clique sur "Télécharger la version gratuite de ZoneAlarm"
 installe le programme, 
 met le à jour, 
 et configure le par défaut; 
 il est simple d'utilisation et efficace; 
 cependant, il peut y avoir des problèmes de compatibilité avec ton antivirus ou Avast!. 
 Soit tu télécharges Kerio Firewall (kerio ),
 installe le programme,
 met le à jour,
 et configure le par défaut;
 Il est également fiable et sérieux.
 
- Tu fais un scan en ligne avec F-SECURE Blacklight (http://support.f-secure.com/fra/home/ols.shtml ),
  supprime les problèmes qui vont s'afficher.
  Télécharge PANDA Antirootkit  (http://www.pandasoftware.co.uk/00frm1/YaBB.pl?num=1178618622 ),
  installe le programme, 
  met le à jour, 
  fais un scan minutieux et complet de ton PC, 
  supprime les problèmes qui vont s'affichés;
  télécharge Sophos Anti-Rootkit (http://www.sophos.fr/products/free-tools/sophos-anti-rootkit/eula ),
  installe le programme, 
  met le à jour, 
  fais un scan minutieux et complet de ton PC, 
  et supprime les problèmes qui vont s'affichés.
  Ces programmes sont spécialisés dans la recherche de fichiers cachés, de rootkits, de backdoors.

-Tu mets à jour Windows (http://www.update.microsoft.com/... ),
 clique sur le bouton "Continuer",
 suis la procédure.

-Tu réactives la Restauration du système, un outils utile de Windows:
Démarrer -> Panneau de configuration (en mode catégorie) -> Performance et maintenance -> Système -> Onglet "Restauration du système" -> Décoche la case "Désactivé la restauration du système"
-> Clique sur le bouton "Appliquer" en bas -> Clique sur le bouton "Ok" en bas. 

-Tu fais un nouveau scan et rapport avec HijackThis:
ouvre HJTH en cliquant sur l'icône nouvelle qui apparaît (un détective avec un chapeau rouge),  
cliques sur le bouton "Do a system scan and save a log file",
attends qu'il est fini le scan de ton PC,
une page de texte (généralement le bloc-note) s’ouvrent avec des lignes: c'est ton rapport ; 
copie et colle ce rapport sur un nouveau message. 


En espérant t'avoir éclairé. 

:)

lineve26 · Answer

Bonsoir titoune-78,

1) Supprime ces fichiers :

 cscrs.exe 
 mslaugh.exe 
Assure- toi d'avoir accès à tous les fichiers
- Démarrer / Poste de travail ou autre dossier / Menu outils / Option des dossiers / onglet Affichage :
- Activer la case : Afficher les fichiers et dossiers cachés
- Désactiver la case : Masquer les extensions des fichiers dont le type est connu
- Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis: "Appliquer" / Cliquer sur "appliquer à tous les dossiers" / cliquer sur "ok"

Puis, dans l'explorateur, cherche ces fichiers dans C:\Windows\
ou C:\Windows\system32\

A la fin, recache les fichiers et les dossiers.

Regarde aussi là :

Démarrer--->Exécuter--->tape msconfig--->"Démarrage" et désactive ces .exe, si tu les trouves.

Ensuite, recache les fichiers.

2)  Relance hijackthis pour un scan seulement et coche hors connexion Internet et toutes fenêtres fermées, sauf hijackthis :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://login.passport.com/login.srf?lc=1036 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe 
O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe 
O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe 
O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe 
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe 

Clique sur "Fix checked" ("Fixer objet") hors connexion.

3) Pourrais-tu essayer de désactiver un service ?
Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à France Telecom Routing Table Service
Faire un clic droit dessus et choisir" Propriétés"
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINDOWS\System32\FTRTSVC.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur" Appliquer",
Dans Type de démarrage, choisir "Désactivé"
Cliquer sur Appliquer, puis sur OK

Reviens avec un nouveau rapport hijackthis.

A te lire

Darckiller · Answer

Lol on a posté à 13 seconds d'intervalle ^^.

lineve26 · Answer

Oui, Darkckiller,

Mes excuses, je ne t'avais pas vu !!!

Cordialement

Darckiller · Answer

Moi aussi je m'excuse vu qu'on rédigeai notre poste en meme temps !

Au fait merci pour ça:

Assure- toi d'avoir accès à tous les fichiers 
- Démarrer / Poste de travail ou autre dossier / Menu outils / Option des dossiers / onglet Affichage : 
- Activer la case : Afficher les fichiers et dossiers cachés 
- Désactiver la case : Masquer les extensions des fichiers dont le type est connu 
- Désactiver la case : Masquer les fichiers protégés du système d'exploitation 
Puis: "Appliquer" / Cliquer sur "appliquer à tous les dossiers" / cliquer sur "ok" 

Je ne connaissais pas cette manipulation, bien qu'étant un grand fana d'informatique.

;) Cordialement

lineve26 · Answer

Re,

Pour trouver des fichiers, la plupart du temps, il faut afficher tous les fichiers.dossiers cachés, sinon, ils sont invisibles.

Cordialement

Darckiller · Answer

Oui en effet !
Je vais l'inclure dans mon protocole d'éradication. Cela me semble important pour scanner les PC à la recherche de malwares insidieux.

Cordialement

lineve26 · Answer

Ok, Darckiller 

Cordialement

titoune-78 · Answer

1) Supprime ces fichiers :

cscrs.exe
mslaugh.exe
Assure- toi d'avoir accès à tous les fichiers
- Démarrer / Poste de travail ou autre dossier / Menu outils / Option des dossiers / onglet Affichage :
- Activer la case : Afficher les fichiers et dossiers cachés
- Désactiver la case : Masquer les extensions des fichiers dont le type est connu
- Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis: "Appliquer" / Cliquer sur "appliquer à tous les dossiers" / cliquer sur "ok"

Puis, dans l'explorateur, cherche ces fichiers dans C:\Windows\
ou C:\Windows\system32\

A la fin, recache les fichiers et les dossiers.

Regarde aussi là :

Démarrer--->Exécuter--->tape msconfig--->"Démarrage" et désactive ces .exe, si tu les trouves.

Ensuite, recache les fichiers.

2) Relance hijackthis pour un scan seulement et coche hors connexion Internet et toutes fenêtres fermées, sauf hijackthis :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://login.passport.com/login.srf?lc=1036
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Clique sur "Fix checked" ("Fixer objet") hors connexion.

3) Pourrais-tu essayer de désactiver un service ?
Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à France Telecom Routing Table Service
Faire un clic droit dessus et choisir" Propriétés"
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINDOWS\System32\FTRTSVC.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur" Appliquer",
Dans Type de démarrage, choisir "Désactivé"
Cliquer sur Appliquer, puis sur OK

W32

9 réponses

Discussions similaires