Sujet Précédent Sujet Suivant

Toolbar grqfetx

Amelie6 Messages postés 15 Statut Membre -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
J'ai le même problème que Lily, le mardi 5 août 2008 à 13:21:58

Lorsque je veux ouvrir internet explorer, notamment pour regarder mes mails, une page s'affiche avec marqué "insecure internet activity. threat of virus attack".

windows me dit que quelqu'un essaye de m'infecter avec des spyware et qu'il faut que je télécharge un anti-spyware justement.

Dans la barre de démarrer en bas à droite, juste à côté de l'heure il y a aussi marqué "VIRUS ALERT !" et des programmes d'anti spyware comme "spyware & malware protection" ou "privacy protector" apparaissent comme par magie sur mon bureau.

Dans le menu démarrer je n'ai plus accès à mes programmes ou tous les autres menus mais juste à "configurer les programmes par défault", à "connexions" et aux programmes récemment utilisés ainsi qu'au bouton "arrêt".

J'ai une la toolbar grqfetx dans IE je n'arrive pas à l'enlever.

Merci beaucoup de votre aide.
A voir également:

28 réponses

  • 1
  • 2
Réponse 1 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

commences par ce-ci :

Télécharges et installes le logiciel HijackThis :

ici :ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " .
Supprimes le raccourcis stp ...

Important :
Renommer le prg HijackThis :
Rends toi sur ton PC ici "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .
Puis cliques droit sur "monjack.exe" et choisis "envoyer vers" -> le bureau ( créer un raccourci ).

tuto pour utilisation
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34) :
http://pageperso.aol.fr/balltrap34/demohijack.htm

2-!!Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile"

---> Postes le rapport généré pour analyse ...
0
Réponse 2 / 28
Amelie6 Messages postés 15 Statut Membre
 
Salut et merci pour ta réponse,

J'arrive pas à télécharger Hijack la première adresse fonctionne pas et quand j'essaie la seconde je suis rediriger vers
/fr.antispywareexpert.com et j'ai des alertes spyware et ultimate cleaner et autres de ce genre....

t'as une autre idée pour le télécharger?

Merci bcp
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Ps : ne télécharge rien en provenence de ces adresses bien sûr ...
0
Réponse 3 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
fais ce-ci d'abors :

Télécharger FixWareout sur le bureau :
http://downloads.subratam.org/Fixwareout.exe

!!Déconnectes toi,désactives tes défences ( anti-virus,anti-spyware,ect... ) et fermes bien toutes tes applications le temps de la manipe !!

Lancer le fix : cliquer sur Next, puis Install, s’assurer que l’option Run fixit est activée puis cliquer sur Finish.
Il sera demandé ensuite de redémarrer l’ordinateur : redémarrer le.
Si le système met un peu plus de temps au démarrage, c'est normal.
Le contenu du rapport qui s'affichera à l'écran , sauvegardes ce rapport de manière à le retrouver
--->postes ce rapport et attends la suite ...
0
Réponse 4 / 28
Amelie6 Messages postés 15 Statut Membre
 
ok voici le rapport:
Username "CATHERINE" - 11/08/2008 11:43:26 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.

System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[hkey_local_machine\software\microsoft\windows\currentversion\Run]
"ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /installquiet /keeploaded /nodetect"
"NVRotateSysTray"="rundll32.exe C:\\WINDOWS\\system32\\nvsysrot.dll,Enable"
"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"LtMoh"="C:\\Program Files\\ltmoh\\Ltmoh.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"THotkey"="C:\\Program Files\\Toshiba\\Toshiba Applet\\thotkey.exe"
"TPSMain"="TPSMain.exe"
"NDSTray.exe"="NDSTray.exe"
"Tvs"="C:\\Program Files\\TOSHIBA\\Tvs\\TvsTray.exe"
"SmoothView"="C:\\Program Files\\TOSHIBA\\Utilitaire de zoom TOSHIBA\\SmoothView.exe"
"TFncKy"="TFncKy.exe"
"DLA"="C:\\WINDOWS\\System32\\DLA\\DLACTRLW.EXE"
"ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\""
"IntelZeroConfig"="\"C:\\Program Files\\Intel\\Wireless\\bin\\ZCfgSvc.exe\""
"IntelWireless"="\"C:\\Program Files\\Intel\\Wireless\\Bin\\ifrmewrk.exe\" /tf Intel PROSet/Wireless"
"Adobe Photo Downloader"="\"C:\\Program Files\\Adobe\\Photoshop Album Edition Découverte\\3.0\\Apps\\apdproxy.exe\""
"AntiSpywareExpert"="C:\\Program Files\\AntiSpywareExpert\\ase_fr.exe"
"PCPrivacyCleaner"="C:\\Program Files\\PCPrivacyCleaner\\pcpc.exe"

[hkey_current_user\software\microsoft\windows\currentversion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"TOSCDSPD"="C:\\Program Files\\TOSHIBA\\TOSCDSPD\\toscdspd.exe"
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
ré-essayes ce-ci maintenant :
-> http://www.commentcamarche.net/forum/affich 7841080 toolbar grqfetx#1
0
Réponse 6 / 28
Amelie6 Messages postés 15 Statut Membre
 
il me jete toujours dès que j'essaye de le télécharger...
0
Réponse 7 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bizard ...

essayes ce-ci alors :

Télécharges DSS (Deckard's System Scanner de Deckard) sur ton Bureau :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

!! Fermes toutes les applications en cours (très important, sinon l'ordi peut planter) !!

Double-clique sur DSS.exe pour lancer l'outil.
(S'il ne trouve pas HijackThis, clique sur Oui )

Clique sur OK à chaque fois que cela sera demandé.

Le scan peut durer un certain temps suivant les cas , sois patient ...

L'analyse finis, un fichier texte s'affichera --->postes ce rapport dans ta prochaine
réponse pour analyse ...

(Le rapport se trouve en outre ici : C:\Deckard\System Scanner\main.txt.)

Important : Si tu obtiens deux rapports ("main.txt" + "extra.txt") alors poste les deux stp.
Attention --> les rapports peuvent être long donc envoie chacun d'eux dans un poste différent (sinon il risque de manquer la fin).
0
Réponse 8 / 28
Amelie6 Messages postés 15 Statut Membre
 
j'arrive pas à le télécharger, je suis toujour redirigée,
System alerte,

IE me dit avertissement, l'analyse n'est pas terminée si votre PC est ionferté, vous puvez souffrir de pertes de données....
voulez vous installer antiSpywareExper....

OK ou ANNULER

ANNULER bein sur...
mais il revient tt le temps...
0
Réponse 9 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bien ... je vois ce qui ce passe ^^

fait exactement ce qui suit :

Télécharges SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

!! Déconnectes toi, fermes toute tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!

Installes le soft à la racine de C\ ( et pas ailleurs! --->"C\:SmitfraudFix.exe" ) .

Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php

Utilisation ---> option 1 / Recherche :
Double clique sur l'icône "Smitfraudfix.exe" et sélectionnes 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

Postes le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite .

(Attention : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)
0
Réponse 10 / 28
Amelie6 Messages postés 15 Statut Membre
 
SmitFraudFix v2.334

Rapport fait à 12:22:01,98, 11/08/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\AntiSpywareExpert\ase_fr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\PCPrivacyCleaner\pcpc.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\CATHERINE\Bureau\SmitfraudFix\Policies.exe
C:\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Symantec\LiveUpdate\AUpdate.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Symantec\LiveUpdate\LuCallbackProxy.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\privacy_danger PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\CATHERINE

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\CATHERINE\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\CATHER~1\Favoris

C:\DOCUME~1\CATHER~1\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\CATHER~1\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\CATHER~1\Favoris\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\CATHER~1\Bureau\Error Cleaner.url PRESENT !
C:\DOCUME~1\CATHER~1\Bureau\Privacy Protector.url PRESENT !
C:\DOCUME~1\CATHER~1\Bureau\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: wnlmdakqlag.dll
BHO: QXK Olive - {DF6C9A95-CDD0-4EFC-9C2A-B6CA365F7396}
TypeLib: {4E139533-3339-4A4B-93F0-55243D2A5DC2}
Interface: {51646AAA-C821-463D-B0EC-278A57B7FD4D}
Interface: {FD4CCF55-6CD6-4284-8D7E-E82B6F575E40}

[!] Suspicious: bgrqfetx.dll
Toolbar: bgrqfetx - {892B88A3-DC94-4A1F-A75A-9AA50061A683}
TypeLib: {20E1148B-A9DB-4678-82AB-E3E72B0F2959}
Interface: {4C6B1408-FC27-4864-9B5D-F70A93A789C4}
Classe: bgrqfetx.bolb
Classe: bgrqfetx.ToolBar.1

[!] Suspicious: xokvrpwg.dll
SSODL: xokvrpwg - {5AD7B012-E35F-4B50-8BDE-8D6CC72891E6}

[!] Suspicious: tfnslopk.dll
SSODL: tfnslopk - {7A92E2D5-A76E-4A29-93FA-C03D3ADA6BFF}

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 3945ABG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{39A8C7F2-6ADF-4EC8-87B2-B9819CAAC253}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{39A8C7F2-6ADF-4EC8-87B2-B9819CAAC253}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{39A8C7F2-6ADF-4EC8-87B2-B9819CAAC253}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 11 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
trés bien ...

1- Suite de la manipe ( nettoyage ), fais exactement ce qui suit :

* Impératif ( sinon le nettoyage ne fonctionnera pas ):
Redémarrer l'ordinateur en mode sans échec .
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

*Double click sur SmitfraudFix.exe

* Sélectionnes 2 et presses "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

( Le correctif déterminera si le fichier wininet.dll est infecté.)

* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée
pour remplacer le fichier corrompu.

* Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage ( sinon fais le manuellement )

Le rapport se trouve à la racine de C\:
(dans le fichier "rapport.txt")

Postes moi ce dernier rapport pour analyse ...

une fois ce rapport posté , re-tentes ce-ci :

2- Télécharges et installes le logiciel HijackThis :

ici :ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " .
Supprimes le raccourcis stp ...

Important :
Renommer le prg HijackThis :
Rends toi sur ton PC ici "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .
Puis cliques droit sur "monjack.exe" et choisis "envoyer vers" -> le bureau ( créer un raccourci ).

tuto pour utilisation
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34) :
http://pageperso.aol.fr/balltrap34/demohijack.htm

2-!!Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile"

---> Postes le rapport généré pour analyse ...
0
Réponse 12 / 28
Amelie6 Messages postés 15 Statut Membre
 
voila le premier rapport

SmitFraudFix v2.334

Rapport fait à 12:51:30,07, 11/08/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\wnlmdakqlag.dll deleted.
C:\WINDOWS\bgrqfetx.dll deleted.
C:\WINDOWS\xokvrpwg.dll deleted.
C:\WINDOWS\tfnslopk.dll deleted.

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\privacy_danger\ supprimé
C:\DOCUME~1\CATHER~1\Bureau\Error Cleaner.url supprimé
C:\DOCUME~1\CATHER~1\Bureau\Privacy Protector.url supprimé
C:\DOCUME~1\CATHER~1\Bureau\Spyware?Malware Protection.url supprimé
C:\DOCUME~1\CATHER~1\Favoris\Error Cleaner.url supprimé
C:\DOCUME~1\CATHER~1\Favoris\Privacy Protector.url supprimé
C:\DOCUME~1\CATHER~1\Favoris\Spyware?Malware Protection.url supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS3\Services\Tcpip\..\{39A8C7F2-6ADF-4EC8-87B2-B9819CAAC253}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 13 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Impec ... la suite maintenant ...
0
Réponse 14 / 28
Amelie6 Messages postés 15 Statut Membre
 
par contre impossible de télécharger Hijack, avec tes liens ou en passant pas le site, j'ai le message de IE ne peut pas afficher le page web...
0
Réponse 15 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
vérifies ce-ci :
sur ta page IE , cliques sur " outils " / "option Internet " : la tu vas sur l'onglet " avancé " et dans l'encadré central , fais défiller jusqu'au paramètre " sécurité " et là tu vérifies :
SSL 2.0 -> décoché
SSL 3.0 -> coché
TLS 1.0 -> coché

Puis re-tentes le coup ...

sinon essayes avec ce lien :
https://www.clubic.com/telecharger-fiche17891-hijackthis.html

ou avec celui-ci :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
--> mets l'.exe directement sur ton bureau et cliques dessus pour le lancer ...

0
Réponse 16 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,

Autre technique ( merci Chiquitine29 )

Télécharges et installes le logiciel HijackThis :

la technique :
-> cliques droit sur un de ces lien / choisis " enregistrer la cible sous ..." , destination ton bureau et valides .

ici :ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " .
Supprimes le raccourcis stp ...

Important :
Renommer le prg HijackThis :
Rends toi sur ton PC ici "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .
Puis cliques droit sur "monjack.exe" et choisis "envoyer vers" -> le bureau ( créer un raccourci ).

tuto pour utilisation
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34) :
http://pageperso.aol.fr/balltrap34/demohijack.htm

2-!!Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile"

---> Postes le rapport généré pour analyse ...
0
Réponse 17 / 28
Amelie6 Messages postés 15 Statut Membre
 
ca marche pas non plus
pour la première adresse il ne se passe rien,
pour la deuxième impossible de trouver de serveur
pour les paramètre IE ils étaient ok
0
Réponse 18 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
regardes la nouvelle technique que je te donne juste au dessus ( poste 17 ) .

cela devrai fonctionner ... ( le fait qu'un téléchargement " classique " ne marche pas vient évidement d'une infection )
0
Réponse 19 / 28
Amelie6 Messages postés 15 Statut Membre
 
ma réponse concernait ton post 17,
sur le post 16 j'avais toujour la meme chose IE ne peut pas afficher la page web
0
Réponse 20 / 28
Amelie6 Messages postés 15 Statut Membre
 
attend ça a l'air ok avec le lien du site en http
0

Discussions similaires

supprimer la barre outil crawler toolbar
natou8050 -
bf -

4 réponses
Comment supprimer Babylon Search ?
LexiYume -
D.L.59 -

131 réponses
Comment supprimer Babylon Toolbar
zabou5410 -
kalimusic -

34 réponses
Aquoi sert Google Toolbar Notifier
RF -
Bridget -

4 réponses
Comment installer Google Toolbar sous Opera
FrGirl -
jonnyquebec -

10 réponses