Winstall.exe que faire help!

sandrine -  
 sandrine -
Bonjour,

j'ai malheureusemnet comme beaucoup le "cheval de troie" winstall.exe sur C

Je suis nulle en informatique

ca fait bien 5 ou 6 heures que j'essaye de comprendre et de faire de mon possible : en l'état rien

Est ce que quelqu'un peut m'aider depuis le debut?

Help merci
Configuration: Windows me
Internet Explorer 6.0?

20 réponses

  1. Utilisateur anonyme
     
    Bonsoir
    commence par ceci
    Télécharge sur le bureau
    http://ftpclubic7.clubic.com/...
    = Clic-droit sur Hijackthis
    = Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
    = clic droit sur Hijackthis ( en forme de dynamite) ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
    =Double-clic dessus
    = Clic Do a system scan and save the log
    =coller le rapport
    si problème voir l'aide
    [url=https://forums.cnetfrance.fr]Aide hijackthis[/url]
    0
  2. sandrine
     
    Bonjour,
    ok je vais regarder cela je n'ai pas l'habitude des forums merci je me lance
    0
  3. sandrine
     
    ca commence mal je ne vois rien qui resssemble a de la dynamite!
    j'ai bien telechargé
    mais ensuite je n'ai rien de ressemblant à extraire ici et pas de dynamite

    J'ai honte si vous pensez que c'est d'avance perdu ...
    Sinon deja merci
    0
  4. Utilisateur anonyme
     
    pas de soucis as tu réussis à le télécharger sur ton bureau ?
    si oui clic droit dessus et extraire
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sandrine
     
    allez j'abandonne je suis si nulle que oui je pense avoir bien telechargé sur le bureau mais des que je clic droit je n'ai pas extraire
    merci c'etait sympa je reessayerais à tete reposee peut etrre demain
    en esperant meix reussir
    a bientot
    0
  7. Utilisateur anonyme
     
    pas de soucis prend le temps
    si tu n'as pas extraire
    as tu ou extraire sans confirmation ou tout ou unzip
    0
  8. sandrine
     
    bonjour apres une nuit il semble que c'est mieux voici ce que j'ai recup
    ouf quel langage!

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:23:32, on 19/10/2007
    Platform: Windows ME (Win9x 4.90.3000)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\SSDPSRV.EXE
    C:\PROGRAM FILES\FICHIERS COMMUNS\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
    C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
    C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
    C:\PROGRAM FILES\SOFTWIN\ASHSERV.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\PROGRAM FILES\FICHIERS COMMUNS\SYSTEM\MOSEARCH\BIN\MOSDMN.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\RUNDLL32.EXE
    C:\PROGRAM FILES\DELL\ACCESSDIRECT\DADAPP.EXE
    C:\PROGRAM FILES\DELL\ACCESSDIRECT\DADTRAY.EXE
    C:\WINDOWS\SYSTEM\PRPCUI.EXE
    C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
    C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
    C:\WINDOWS\LOADQM.EXE
    C:\WINDOWS\WT\UPDATER\WCMDMGR.EXE
    C:\PROGRAM FILES\SOFTWIN\ASHWEBSV.EXE
    C:\PROGRAM FILES\SOFTWIN\ASHMAISV.EXE
    C:\WINDOWS\SYSTEM\CTFMON.EXE
    C:\PROGRAM FILES\MESSENGER\MSMSGS.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAM FILES\INCREDIMAIL\BIN\IMAPP.EXE
    C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
    C:\PROGRAM FILES\INCREDIMAIL\BIN\INCMAIL.EXE
    C:\PROGRAM FILES\TREND MICRO\HIJACKTHIS\HIJACKTHIS.EXE
    C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.dell.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.veosearch.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = SOS Connexion - Le web en toute simplicité
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
    O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\PROGRAM FILES\HBTOOLS\BIN\4.8.7.0\HBTHOSTIE.DLL (file missing)
    O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B94E2DD7A587E402C38CE - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - C:\PROGRAM FILES\HBTOOLS\HBTV\HBTVHELPER.DLL (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\PROGRAM FILES\HBTOOLS\BIN\4.8.7.0\HBTHOSTIE.DLL (file missing)
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [NVQuickTweak] RUNDLL32.EXE NVQTWK.DLL,NvTaskbarInit
    O4 - HKLM\..\Run: [DadApp] C:\Program Files\DELL\AccessDirect\dadapp.exe
    O4 - HKLM\..\Run: [CPortPatch] C:\WINDOWS\Quick Install\CPPatch.exe
    O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
    O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
    O4 - HKLM\..\Run: [WeatherOnTray] C:\PROGRAM FILES\HBTOOLS\BIN\4.8.7.0\HBTWEATHERONTRAY.EXE
    O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.8.7.0\HbtOEAddOn.exe
    O4 - HKLM\..\Run: [ayjnqzqnbk] c:\windows\system\ayjnqzqnbk.exe
    O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\SOFTWIN\ASHWEBSV.EXE
    O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\SOFTWIN\ashmaisv.exe
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
    O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\FICHIE~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
    O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
    O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
    O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
    O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Softwin\ashServ.exe
    O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [WinMedia] "C:\3611010322523949366.exe "
    O4 - HKCU\..\Run: [WinUpdate] "C:\3611010322523960053.exe "
    O4 - HKCU\..\Run: [PestTrap] C:\PROGRAM FILES\PESTTRAP\PestTrap.exe
    O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'Default user')
    O4 - HKUS\.DEFAULT\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c (User 'Default user')
    O4 - HKUS\.DEFAULT\..\Run: [WinMedia] "C:\3611010322523949366.exe " (User 'Default user')
    O4 - HKUS\.DEFAULT\..\Run: [WinUpdate] "C:\3611010322523960053.exe " (User 'Default user')
    O4 - HKUS\.DEFAULT\..\Run: [PestTrap] C:\PROGRAM FILES\PESTTRAP\PestTrap.exe (User 'Default user')
    O4 - .DEFAULT Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe (User 'Default user')
    O4 - .DEFAULT Startup: YesMessenger.lnk = C:\YesMessenger\YesMessenger.exe (User 'Default user')
    O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE (User 'Default user')
    O4 - .DEFAULT Startup: Registration-Studio 8 LE.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe (User 'Default user')
    O4 - Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Startup: YesMessenger.lnk = C:\YesMessenger\YesMessenger.exe
    O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Startup: Registration-Studio 8 LE.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\WINDOWS\Menu Démarrer\Programmes\avatar\Run IMVU.lnk (file missing)
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAM FILES\JAVA\JRE1.6.0_02\BIN\SSV.DLL
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAM FILES\JAVA\JRE1.6.0_02\BIN\SSV.DLL
    O9 - Extra button: Dell Home - {CB138CA8-A6B1-49CF-8C6C-95229FC102F4} - http://www.euro.dell.com/countries/fr/fra/gen/default.htm (file missing) (HKCU)
    O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
    O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.euro.dell.com/countries/fr/fra/gen/default.htm
    O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/4.8.7.0/hbtools.cab
    0
  9. Utilisateur anonyme
     
    Bonsoir ton rapport n'est pas complet

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport

    ensuite poste un rapport complet de hijack
    @+
    0
  10. sandrine
     
    Re bonsoir

    quelle rapidité dans vos reponses! grand merci

    Par contre je ne comprends quasi rien à votre langage...
    je télécharge, j'essaye d'executer vos conseils
    Lorsque je pense que c'est bon et bien non!
    apparement j'ai sauvegardé ailleurs hijack (j'ai fini par le trouver) mais tout cela sans vouloir le faire

    Apres j'ai donc telechager combofix amis l'ordi me dit manque fichier system 32...

    La c'est definitif, j'arrete!

    Il faut que je suis noyée

    Merci quand même
    C'est vraiment genial de pouvoir se renseigner.

    Bonne continuation
    0
  11. Utilisateur anonyme
     
    il faut vraiment continuer car tu as
    plusieurs infections

    fait pour commencer celui ci
    Télecharger [url=http://www.malekal.com/download/clean.zip]clean.zip[/url] sur le bureau
    Dézipper sur le bureau.(décompresse)
    = ouvrir le dossier clean
    = cliquer sur le symbole roue dentée avec le nom clean
    = choisir l'option 1 et laisser clean travailler jusqu'à l'apparition du texte "appuyer sur une touche pour continuer"
    = ensuite colle le rapport
    0
  12. sandrine
     
    salut

    je veux bien (au contraire) mais je reprends tes etapes
    j'ai télécharge [url=http://www.malekal.com/download/clean.zip]clean.zip[/url] sur le bureau
    pour dézipper je bloque il me dit rien de ca seulement extraire vers ou extraire ici ou dans C ou créer un fichier exe...

    J'ai donc vu = ouvrir le dossier clean alors j ai créer un fichier exe
    mais pour l'ouvrir il m ouvre une fenetre "archive autoextractible"
    extract windows bureau
    Files clean/cherch.cmd

    et me dis ensuite couldn't extract...

    Je n'ai pas de roue dentéee
    et encore moins d'option...

    je ne peux donc pas encore envoyé de rapport
    par contre j'ai mon bureau qui se remplit

    Mais toujours la!
    0
  13. Utilisateur anonyme
     
    tu as le fichier avec la fermeture eclair

    tu clic droit dessus et fait extraire vers

    un fois extrait tu auras un dossier clean qui vas se créer

    tu l'ouvre et tu trouveras clean avec la roue crantée
    0
  14. sandrine
     
    J espere que tout le monde n'est pas comme moi

    C'est bon j'ai eu le fichier zip
    puis j'ai "extraire vers"
    J'ai donc un fichier clean (tout simple tout jaune!"

    Quand je l'ouvre j'ai 2 sortes d'icones et pas de roue crantée

    J'ai cherche.cmd
    clean.cmd
    del2.cmd
    del3.cmd
    delr.cmd
    delsiri.cmd
    tout ca s'ouvre pas (application inconnue) et l'icone est une sorte de page avec une fenetre

    puis j'ai
    pskill.exe : l'icone cette fois est une fenetre

    Puis
    remove.reg : icone une "rubicuk" qui se décompose

    j'attends tes instructions!
    0
  15. sandrine
     
    la ca me rassure...

    enfin presque

    sur la notice il y a effectivement les fameuses roues crantées que je n'ai pas alors je me demande avec quel programme je dois ouvrir...

    la si je l'ouvre je tombe sur une page blanche "wordpad"
    avec des pages et des pages d'infos (le programme du logiciel?)

    regarde :

    @echo off
    rem Par Malekal_morte
    rem translation by Ruby
    rem Suppression de fichiers utilises par des malwares
    set ver=Rapport clean par Malekal_morte - http://www.malekal.com

    set lang=int
    if exist "%userprofile%\Bureau" ( set lang=fra )
    if exist "Programme\Gemeinsame Dateien\" ( set lang = de )

    if %lang%==fra (
    set noexist1=Des fichiers sont manquants, avez-vous bien decompresse toute l'archive?
    set noexist2=Le script ne peut continuer a s'executer..
    set translation=traduction par Ruby
    set menu= Choisissez l'une des options suivantes :
    set menu1= 1. Recherche de fichiers infectieux
    set menu2= 2. Nettoyage des fichiers infectieux
    set menu3= Q. Quitter
    set cherche=La recherche debute.. Ceci peut prendre plusieurs minutes.. Soyez PATIENT !!!
    set cherche2=Option 1, executee le
    set warning=Clean va supprimer les fichiers et dossiers connus pour etre des malwares.
    set warning2=Il est recommande d'utiliser cette option avec un expert a partir de forum de securite tel que :
    set forum=http://forum.malekal.com
    set forum2=https://forum.zebulon.fr/
    set forum3=http://forum.telecharger.01net.com/forum/
    set patient=Merci de bien vouloir patienter et d'attendre le message disant que le programme a termine.
    set mode=Script execute en mode normal
    set modealerte=Vous tentez d'executer le script en mode

    ect
    0
  16. Utilisateur anonyme
     
    tu suis bien la démarche ?
    je ne comprend pas

    quand tu clic droit tu à bien extraire ici
    0
  17. sandrine
     
    Oui tout ca c'est bon

    maintenant j'ai mis ouvrir avec un autre prog "terminal process..."

    l'icone est desormais une page ecrtit de bleu avec un grand A rouge en bas à droite

    Peu importe il semble que la fenetre noir veut s'ouvrir mais des qu'elle arrive (meme pas une seconde apres) elle repart et ne reste pas accessible

    j'ai bien essaye d'ouvrier 50 et = de fois

    je sais pas
    0
  18. Utilisateur anonyme
     
    as tu MSn
    si oui il aurait était bien que tu sois inscris
    pour échange sur mp d'adresse
    0
  19. Utilisateur anonyme
     
    bonjour

    essaye ceci
    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    sur ton bureau
    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    0
  20. sandrine
     
    bonjour

    je vais essayer des que possible
    j'ai des journées tres chargées coté boulot
    Des que ca se calme (en fin de semaine) je me relance!
    Merci
    Et à tres bientot!
    bon courage
    0