Publicité qui se lance toute seule ... - Sécurité - Windows & Software
Marsh Posté le 27-10-2006 à 14:16:11
Bonjour ,
Note comment démarrer en mode sans échec http://www.microsoft.com/windows20 [...] ilsafe.htm
Tu vas t'en servir de l'étape 2 à l'étape 11 sans accès à internet.
1/ Télécharge :
- CCleaner http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
- delcmdservice (par Marckie) http://users.telenet.be/marcvn/tools/delcmdservice.zip et dézippe-le sur ton Bureau.
- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
FAIS UN CLIC-DROIT sur ce lien : http://metallica.geekstogo.com/alcanshorty.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous.." )
afin de télécharger alcanshorty.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU)
- SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* décompresse-le
- OIUninstaller http://www.outerinfo.com/OiUninstaller.exe sur le bureau
*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte admin ou autre)*****
2/ désinstalle via "Ajout/Suppression de programmes", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)
Network Monitor
tout programme contenant la mention "by OIN"
3/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e40.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e40.exe
O4 - HKCU\..\Run: [Ucsc] "C:\PROGRA~1\COMMON~1\SMBOLS~1\wuauboot.exe" -vt yazb
- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.
4/ Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : alcanshorty.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\alcanshorty.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.
5/ Double-clique sur le fichier "SmitfraudFix.cmd" et choisis loption 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.
6/ Double-clique sur le dossier delcmdservice, puis double-clique sur delreg.bat afin de lancer l'outil.
7/ Double-clique sur le fichier OIUninstaller sur ton bureau, et suis les instructions. Lorsque c'est terminé, supprime ce fichier.
8/ Assure toi d'avoir accès aux dossiers/fichiers cachés :
Citation : Ouvrir un dossier, n'importe lequel. Aller dans : |
9/ recherche et supprime ce dossier, si tu le trouves :
C:\PROGRAM FILES\COMMON FILES\SMBOLS... <- le dossier dont le nom commence par ces 6 premiers caractères, en principe, il contient au moins un fichier "wuauboot.exe"
10/ Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
11/ Redémarre normalement, télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.
*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.
12/ Télécharge VundoFix.exe (par Atribune) sur ton Bureau
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
13/ Poste :
- un nouveau rapport HijackThis, toutes fenêtres et applications fermées.
- le contenu du rapport situé dans C:\vundofix.txt
- le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau
- le rapport SmitfraudFix que tu as sauvegardé
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
Marsh Posté le 28-10-2006 à 00:33:17
Ouah Merci !!!! Impressionnant !!!!
Alors voici ce que tu me demandes :
Rapport HijackThis
Running processes: |
Rapport vundofix :
VundoFix V6.2.6 |
Rapport Look2Me :
Look2Me-Destroyer V1.0.12 |
Rapport SmitfraudFix :
SmitFraudFix v2.114 |
Je n'es pas eu de problèmes ... Je te remercie beaucoup car j'ai l'impression d'avoir fait un nettoyage sévère ...
Pour le moment, je n'es eu qu'une seule page de pub qi s'est ouverte ...
Je te tiens au courant ... merci encore !
Marsh Posté le 28-10-2006 à 12:05:36
Alors voici l'évolution de mon problème. J'ai encore de temps en temps une page de pub qui s'ouvre, mais c'est assez rare (1 fois par heure peut-être).
Par contre, j'ai quelques fichiers que je ne connais pas qui sont apparus dans ma racine C:\, et quand je fais apparaitre le gestionnaire de taches, j'ai deux applications en route, portant le doux nom de Project1
Marsh Posté le 28-10-2006 à 13:05:53
salut
il y a encore des lignes indésirables dans ton log, de toutes façons
* Premièrement, mets à jour ta version de Java : désinstalle par Ajout/Suppression de programmes "Java 2 Runtime Environment 1.4.2_04"
supprime les traces éventuelles, après désinstallation :
C:\Program Files\Java
C:\Documents and Settings\ton identité\Application Data\Sun
ensuite tu vas ici http://java.sun.com/javase/downloads/index.jsp
Clique sur le "Download" en face de "Java Runtime Environment (JRE) 5.0 Update 9". Sur la page suivante, coche la case "Accept License Agreement" puis télécharge "Windows Offline Installation, Multi-language" (jre-1_5_0_09-windows-i586-p.exe, 15.74 MB)
* Deuxièmement, pas de trace d'antivirus, en voici un http://speedweb1.free.fr/frames2.php?page=tuto5
et un pare-feu : http://www.pcentraide.com/index.php?showtopic=110
--------------------------
en mode sans échec :
1/ désinstalle via "Ajout/Suppression de programmes", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)
Deskbar
2/ Désactive le service suivant :
vas dans démarrer, clique sur "exécuter", tapes :
services.msc
"ok"
Dans la liste des services, cherche et double-clique sur la ligne :
Network Monitor
vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de
"C:\Program Files\Network Monitor\netmon.exe "
dans "Type de démarrage",
clique sur "désactiver" et règle-le sur "arrêté"
"Appliquer"/"ok"
3/ coche et fixe ces lignes si tu les trouves :
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {8A8CC610-218C-4A17-BD3A-DD0FCE5E9256} - C:\WINDOWS\System32\jkhfe.dll (file missing)
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e40a.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e40a.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e40a.exe
4/ Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : alcanshorty.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\alcanshorty.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.
5/ Double-clique sur le fichier "SmitfraudFix.cmd" et choisis loption 2, réponds oui à tout et laisse-le procéder.
6/ Double-clique sur le dossier delcmdservice, puis double-clique sur delreg.bat afin de lancer l'outil.
7/ Supprime :
C:dfndrff_e40a.exe <- fichier
C:\kybrdff_e40a.exe <- fichier
C:\nwnmff_e40a.exe <- fichier
C:\Program Files\Deskbar <- dossier
C:\WINDOWS\WFA <- dossier
8/ Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
N'hésite pas à lancer un scan complet avec l'antivirus.
9/ Redémarre normalement. Poste un nouveau rapport HijackThis
10/ poste un rapport Panda
http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.
Marsh Posté le 28-10-2006 à 14:42:52
Donc voici le log d'Hijackthis :
Running processes: |
Et le rapport de Panda :
Incident Statut Analyse |
Par contre, je n'es pas pu installer l'antivirus que tu m'as proposé ... Voici le message d'erreur :
Ni Java ...
Marsh Posté le 28-10-2006 à 14:50:22
un peu strange que ces lignes reviennent en permanence. Il doit y avoir autre chose derrière.
1/ Télécharge F-Secure Blacklight (800ko) https://europe.f-secure.com/exclude [...] blbeta.exe
Place-le dans son propre répertoire, dans C:\
Lance-le en double-cliquant sur le fichier blbeta.exe
Accepte la licence, et clique enfin sur "Scan"
Si Blacklight détecte des éléments invisibles, il en affiche la liste et permet de les renommer
Ne renomme rien du tout. Copie le contenu du log qui sera généré dans le même dossier que blbeta, avec un nom qui ressemblera à fsbl-20060316011845.log
2/ Télécharge WinPFind http://www.bleepingcomputer.com/fi [...] nPFind.zip et Dézippe-le dans C:\
Redémarre en mode sans échec.
Double-clique sur le fichier c:\winpfind\winpfind.exe, clique ensuite sur le bouton "Start Scan button"
Patiente le temps du scan.
Quand c'est terminé, redémarre normalement et poste le contenu du fichier WinPFind.Txt qui se trouve dans le répertoire c:\winpfind
PS : la prochaine fois que tu postes un rapport HJT, poste-le en entier, il faut voir ta version de windows tout en haut. Normalement ce sera écrit dans le rapport winpfind, ne le masque pas.
Marsh Posté le 28-10-2006 à 15:27:09
Bon ben là double problème : je n'es ni pu lancer F-Secure Blacklight (j'ai un message d'erreur)
,
et WinPFind se plante au bout de 10 minutes ...
Voici le dernier log d'Hijack :
Logfile of HijackThis v1.99.1 |
Marsh Posté le 28-10-2006 à 15:38:57
ce n'est pas bon signe tout ça.
1/ Lance SmitfraudFix -> option 1 (recherche), puis poste son rapport
1 et demi/ Crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau"> "Document texte". Ouvre-le et copie-colle dedans ces lignes en citation :
Citation : dir /ad "%SystemDrive%\Documents and settings" > list.txt |
Dans le menu "fichier"/"enregistrer sous", sélectionne :
"Nom du fichier" : list.bat
"Type" : "tous les fichiers"
Clique ensuite sur "enregistrer".
double-clique dessus, le bloc-notes s'ouvre au bout de quelques instants. Copie et poste son contenu.
2/ Télécharge Gmer http://gmer.net/gmer110.zip et décompresse-le. Double-clique sur l'icone Gmer, puis sélectionne l'onglet "Rootkit" ; vérifie que tout soit coché à droite :
Citation : 1. System |
Clique ensuite sur "Scan" et laisse-le faire son travail. A la fin du scan clique sur "Copy", et dans ton prochain message -> clic droit/coller
Pas sur que ça marche (pour les mêmes raisons que blbeta), mais ça ne coute rien de tenter
3/ Relance look2medestroyer, et lorsqu'il a terminé, retente de faire un rapport blacklight
Marsh Posté le 28-10-2006 à 22:51:33
Rapport SmitfraudFix :
SmitFraudFix v2.114 |
Rapport list.bat :
Le volume dans le lecteur C s'appelle SYSTEME |
Rapport Gmer :
GMER 1.0.10.10122 - http://www.gmer.net |
Par contre BlackLight ne veut toujours pas se lancer ...
Marsh Posté le 29-10-2006 à 00:00:50
Alors là ça devient violent ... c'était redevenu tout calme et d'un coup, j'ai eu une quizaine de pages de pubs qui se sont ouvertes ... le temps de les effacer que ça réaparu ... et ça 3 ou 4 fois !!!!
Marsh Posté le 29-10-2006 à 13:34:16
bonjour
Télécharge combofix.exe (par sUBs) sur ton Bureau
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Marsh Posté le 29-10-2006 à 23:23:26
Bonsoir,
Voici le rapport que tu m'as demandé :
Administrateur - 06-10-29 23:22:24,81 Service Pack 1 |
Marsh Posté le 29-10-2006 à 23:46:45
je vois que cette merde de winantivirus pro est installée sur ton pc
Mets à jour SmitfraudFix et SpySweeper
Télécharge : Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
FAIS UN CLIC-DROIT sur ce lien : http://perso.numericable.fr/~altsh [...] ftware.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous.." )
afin de télécharger Winsoftware.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU)
En mode sans échec, démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.
tu supprimeras également C:\Program Files\VSToolbar (regarde si tu peux pas le désinstaller avant de supprimer le dossier)
ensuite tu lances SmitfraudFix (nettoyage) et Spysweeper
fais scanner es deux fichiers
C:\mc44a42.exe
C:\mc44a41.exe
ici http://virusscan.jotti.org/
Puis remets un rapport HijackThis et le rapport de Spysweeper pour voir où ça en est
Marsh Posté le 30-10-2006 à 00:21:35
Alors deux problèmes : Virusscan est trop chargé (the server is extremly busy at the moment) et SpySweeper ne veut toujours pas fonctionner.
Rapport HijackThis :
Logfile of HijackThis v1.99.1 |
Marsh Posté le 30-10-2006 à 10:58:32
Franchement, malgré toute ton aide, tu penses qu'on s'en sortira ??? Car au pire je réinstalle Windows ...
Et j'arrive pas à reinstaller Java ...
Marsh Posté le 30-10-2006 à 21:15:43
Salut,
il doit bien y avoir un moyen de s'en sortir... ce qui est étonnant c'est la résistance de ces deux services "Network Monitor" et "Command Service" (dans tes lignes O23)
D'ordinaire, ils sont balayés rapidement avec les manips précédentes.
Essaye comme ceci :
Crée un fichier texte avec le bloc-note, et copie/colle ceci dans le fichier (sauf le mot "citation" ) :
Citation : @ECHO OFF |
Enregistre le fichier sur le bureau en prenant soins de mettre "tous fichiers" dans "Type" et nomme-le remove.bat
Double-clic sur remove.bat.
supprime le dossier C:\WINDOWS\WFA
vas dans démarrer, clique sur "exécuter", tapes :
services.msc
"ok"
Dans la liste des services, cherche et double-clique sur la ligne :
Network Monitor
vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de
"C:\Program Files\Network Monitor\netmon.exe "
dans "Type de démarrage",
clique sur "désactiver" et règle-le sur "arrêté"
"Appliquer"/"ok"
et tu supprimes le dossier C:\Program Files\Network Monitor
en dehors de ça, le log serait ok. Redémarre et vérifie qu'ils ne sont pas de retour tous les deux.
Marsh Posté le 31-10-2006 à 00:30:20
Alors normalement c'est bon, ils sont plus là.
Voici le log d'Hijackthis :
Logfile of HijackThis v1.99.1 |
Par contre, SpySweeper ne fonctionne toujours pas. J'ai toujours une barre de recherche qui apparait dans ma barre de taches, et j'ai un dorle de logiciel "Command" dans Ajout/Suppression de programme.
Marsh Posté le 01-11-2006 à 11:15:22
Autre petit problème : je ne peux pas installer Java, il me dit qu'il manque un fichier \bin\java.exe
Et j'ai également pas mal de fichier .exe qui sont apparus dans ma racine C:\, sans oublier les deux progs qui tournent Project1 !
J'ai également réussi à scanner les deux fichiers que tu m'as demandé :
File: mc44a42.exe |
File : mc44a41.exe |
Marsh Posté le 01-11-2006 à 12:59:03
Salut,
virut.a, c'est pas celui qui infecte les fichiers .exe ? cela pourrait expliquer tes pbs avec java et spysweeper...
Démarre en mode sans échec avec prise en charge réseau. Si tu n'arives pas à ionstaller les deux programmes ci dessous en mode sans échec, fais le en mode normal, mais évite de trop trainer dans ce mode.
supprime évidemment ces deux fichiers
C:\mc44a42.exe
C:\mc44a41.exe
Télécharge AVG Anti-Spyware http://www.ewido.net/en/download/ et l'installe-le.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
--------------
Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.
Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit" ).
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
Ne pas lancer le scan tout de suite !
Étape 3:
Redémarre en mode Sans Échec (normalement tu dois déjà y être) :
Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.
3.) Il est très important de bien cocher ces boîtes sous Scan Option[/B] : [B]Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes" ), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
Marsh Posté le 02-11-2006 à 01:23:33
EUh alors j'ai une bonne et une mauvaise nouvelle ...
En fait, ce midi, j'ai installé Avast ... et au redémarage ben il m'a tout scanné ... et je lui es dit supprimer tout es fichiers infectés (et y'en avait un paquet) ... Sauf que ben mon pc démarrait plus, donc j'ai refait une installation d'XP toute propre ... donc la bonne nouvelle c'est que tout est ok, la mauvaise, c'est qu'on s'est pris, et surtout toi, la tête pendant 3-4 jours pour rien ...
Désolé mais un grand merci tout de même !
Marsh Posté le 02-11-2006 à 17:37:34
hé ben tu as bien fait, sans quoi on se serait emmerdé la vie encore pas mal de temps sans aucune garantie
parfois, la réinstall c'est beaucoup plus simple
à+
Marsh Posté le 02-11-2006 à 18:50:35
bonjours tout le monde, ya t il un expert qui peut me filer un coup de main ...
Logfile of HijackThis v1.99.1
Scan saved at 22:59:06, on 01/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\System32\vssvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ICO.EXE
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\eoRezo\EoEngine.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\CASIO\Photo Loader\Plauto.exe
C:\Program Files\Sony\VAIO Launcher\Launcher.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\T\Bureau\vundocheck.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [NI.UERSV_0001_N68M0602] "C:\Documents and Settings\T\Local Settings\Temporary Internet Files\Content.IE5\982FOIKV\ErrorSafeScannerInstall_fr[1].exe" -nag
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\eoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Athan] C:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\RunOnce: [msnmsg] C:\Program Files\Messenger\msmsg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - Startup: HKServ.exe
O4 - Startup: VAIO Launcher.lnk = C:\Program Files\Sony\VAIO Launcher\Launcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O4 - Global Startup: Status Monitor.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Supervision de Photo Loader.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/fr/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 2166687562
O17 - HKLM\System\CCS\Services\Tcpip\..\{266A1FC9-6CDF-434E-90EF-55C4534A5790}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{266A1FC9-6CDF-434E-90EF-55C4534A5790}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{266A1FC9-6CDF-434E-90EF-55C4534A5790}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Program Files\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
pour moi c est du chinois
Marsh Posté le 03-11-2006 à 01:10:14
eZula a écrit : hé ben tu as bien fait, sans quoi on se serait emmerdé la vie encore pas mal de temps sans aucune garantie |
Je te remerci encorer une fois pour tout !!! Heuresement que des personnes sont là parfois, ça aide les néophites ... Mais comment sais-tu tout ça ???
Marsh Posté le 03-11-2006 à 17:32:14
oh tu sais, je ne sais pas grand chose, ce sont juste des automatismes et une technique de recherche
rien de bien savant
à+
Marsh Posté le 27-10-2006 à 12:49:30
VOilà j'ai un spyware, et un vrai de vrai. Du moment où je suis connecté au net, j'ai des pubs qui se lancent ... régulièrement ... J'ai nettoyé le tout avec Ad-Aware et Spybot mais j'ai constamment un fichier .dll que je ne peux supprimer ...
En cherchant sur le net, j'ai vu que ce problème était courant mais que pour le résoudre, c'est cas par cas.
Donc voici mon log hijack :
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\dfndrff_e40.exe
C:\kybrdff_e40.exe
C:\PROGRA~1\COMMON~1\SMBOLS~1\wuauboot.exe
C:\WINDOWS\WFA\command.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Network Monitor\netmon.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Administrateur.MACHINEXP\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {AAA42BDA-EC6A-4A28-A663-B7E3B31060EB} - C:\WINDOWS\System32\jkhfe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e40.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e40.exe
O4 - HKCU\..\Run: [Ucsc] "C:\PROGRA~1\COMMON~1\SMBOLS~1\wuauboot.exe" -vt yazb
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://fr.yahoo.com/
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: jkhfe - C:\WINDOWS\System32\jkhfe.dll
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\m8poli7318.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\WFA\command.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
---------------
* Jeu du moment : Le Vaillant Petit Page / Mes jeux passés ... *