virus : bloque explorer, certains sites, antivirus... (log HijackThis)

virus : bloque explorer, certains sites, antivirus... (log HijackThis) - Sécurité - Windows & Software

Marsh Posté le 29-08-2006 à 21:20:49    

Je ne sais plus quoi faire !
 
Logfile of HijackThis v1.99.1
Scan saved at 20:32:27, on 29/08/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\winservnt32.exe
C:\WINNT\Explorer.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,winservnt32.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Microsoft Explorer] iexplorer.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [newname] C:\\nwnmff_13.exe
O4 - HKLM\..\Run: [ntdll.dll] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_13.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_13.exe
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\RunServices: [Microsoft Explorer] iexplorer.exe
O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: *.campusnet (HKLM)
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = education.em-lyon.priv
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E85533-B3A1-4ED5-B967-F66744E94B92}: Domain = ensam.inra.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E85533-B3A1-4ED5-B967-F66744E94B92}: NameServer = 147.99.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = education.em-lyon.priv
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = education.em-lyon.priv
O20 - Winlogon Notify: AdminDebug - C:\WINNT\system32\fpr4039qe.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\RFNJVA\command.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
 
Merci d'avance pour toute contribution  :jap:

Reply

Marsh Posté le 29-08-2006 à 21:20:49   

Reply

Marsh Posté le 29-08-2006 à 22:57:00    

Supprime  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
 
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
 
O4 - HKLM\..\Run: [Microsoft Explorer] iexplorer.exe
 
O4 - HKLM\..\RunServices: [Microsoft Explorer] iexplorer.exe
 
O15 - Trusted Zone: *.campusnet (HKLM)
 
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\RFNJVA\command.exe
 
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
 
Voila

Reply

Marsh Posté le 29-08-2006 à 23:07:59    

Merci beaucoup, je vais essayer de nettoyer tout ca

Reply

Marsh Posté le 30-08-2006 à 15:03:51    

bonjour a tous,
 
Nosti, ne le prends pas mal mais dire:
 

Citation :

Supprime


 
ca ne veut rien dire du tout.
 
Fixer des lignes, c'est bien beaux, mais faux supprimer les fichiers/dossiers qui vont avec.
 
Lukiel, tu es infecté par une bestiole, qui "vole" les mots de passes, donc evite tout ce qi est mot de passe (site de ta banque...etc)
 
 
 
Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.
Télécharge [color=red]Look2Me-Destroyer.exe[/color] (par Atribune) sur ton Bureau.[list]

  • Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
  • Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
  • Coche Run this program as a task
  • Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
  • Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
  • Lorsque le scan termine, clique sur le bouton Remove L2M
  • Un message Done Scanning apparaîtra, clique OK.
  • Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
  • Ton PC va maintenant s'éteindre.
  • Démarre ton PC normalement.
  • Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

[/list]
*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.
 
@+

Reply

Marsh Posté le 30-08-2006 à 17:18:21    

OK je vais tenter ça alors :)
 
j'essaie de faire ça ce soir, merci de ton aide
 
a+

Reply

Marsh Posté le 30-08-2006 à 22:11:44    

Mauvaise nouvelle : Look2Me-destroyer a bien tourné mais toujours impossible d'ouvrir le poste de travail, et norton antivirus se ferme tout seul :/
 
voici les logs :
 
Logfile of HijackThis v1.99.1
Scan saved at 21:57:43, on 30/08/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\RFNJVA\command.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\Network Monitor\netmon.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\winservnt32.exe
C:\WINNT\Explorer.exe
C:\WINNT\AGRSMMSG.exe
C:\WINNT\system32\RunDll32.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\nwnmff_14.exe
C:\kybrdff_14.exe
C:\dfndrff_14.exe
C:\WINNT\system32\internat.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,winservnt32.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Microsoft Explorer] iexplorer.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [newname] C:\\nwnmff_14.exe
O4 - HKLM\..\Run: [ntdll.dll] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_14.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_14.exe
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\RunServices: [Microsoft Explorer] iexplorer.exe
O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: *.campusnet (HKLM)
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = education.em-lyon.priv
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E85533-B3A1-4ED5-B967-F66744E94B92}: Domain = ensam.inra.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E85533-B3A1-4ED5-B967-F66744E94B92}: NameServer = 147.99.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C129118-C227-4D91-B5B2-E37E098FA27A}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = education.em-lyon.priv
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = education.em-lyon.priv
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\RFNJVA\command.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
 
 
Look2Me-Destroyer V1.0.12
 
Scanning for infected files.....
Scan started at 30/08/2006 21:50:37
 
Infected! C:\WINNT\system32\dnj8011ue.dll
Infected! C:\WINNT\system32\iuakeng.dll
Infected! C:\WINNT\system32\sjrdx86.dll
Infected! C:\WINNT\system32\hrink.dll
Infected! C:\WINNT\system32\dnj8011ue.dll
Infected! C:\WINNT\system32\dBtaclen.dll
Infected! C:\WINNT\system32\lv6s09j7e.dll
Infected! C:\WINNT\system32\l40u0ed9eh0.dll
 
Attempting to delete infected files...
 
Attempting to delete: C:\WINNT\system32\dnj8011ue.dll
C:\WINNT\system32\dnj8011ue.dll Deleted successfully!
 
Attempting to delete: C:\WINNT\system32\iuakeng.dll
C:\WINNT\system32\iuakeng.dll Deleted successfully!
 
Attempting to delete: C:\WINNT\system32\sjrdx86.dll
C:\WINNT\system32\sjrdx86.dll Deleted successfully!
 
Attempting to delete: C:\WINNT\system32\hrink.dll
C:\WINNT\system32\hrink.dll Deleted successfully!
 
Attempting to delete: C:\WINNT\system32\dnj8011ue.dll
C:\WINNT\system32\dnj8011ue.dll Deleted successfully!
 
Attempting to delete: C:\WINNT\system32\dBtaclen.dll
C:\WINNT\system32\dBtaclen.dll Deleted successfully!
 
Attempting to delete: C:\WINNT\system32\lv6s09j7e.dll
C:\WINNT\system32\lv6s09j7e.dll Deleted successfully!
 
Attempting to delete: C:\WINNT\system32\l40u0ed9eh0.dll
C:\WINNT\system32\l40u0ed9eh0.dll Deleted successfully!
 
Making registry repairs.
 
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Control Panel
 
Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{9AE7349C-C9B3-442F-AE36-235D9A6BC49A}"
HKCR\Clsid\{9AE7349C-C9B3-442F-AE36-235D9A6BC49A}
 
Restoring Windows certificates.
 
Replaced hosts file with default windows hosts file
 
 
Restoring SeDebugPrivilege for Administrateurs - Succeeded

Reply

Marsh Posté le 31-08-2006 à 11:19:50    

re,
 
Si durant la procedure ci bas, il y a des etapes que tu n'as pas reussi a faire, merci de  
continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.
 
 
1/Télécharge la version d'évaluation d'Ewido:
http://www.ewido.net/en/download/
Installe la et mets à jour.
 
Démarre Ewido avec l'icône qui se trouve sur ton Bureau.  
Clique sur [color=#3333FF]Update Now[/color],  
attend la fin de cette mise à jour,  
puis ferme le programme.
 
 
 
2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html
 
3/
demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:
 
TheSearchAccelerator
Deskbar
Network Monitor
 
 
si ces programmes sont presents desinstallent les.
 
 
4/fais:
demarer executer services.msc repere Command Service
 
Double clic dessus :dans le champs Statut du service met le sur [color=red]arrêté [/color]
dans le champs Type de démarrage met le sur [color=red]désactivé [/color] puis
Appliquer puis ok .
 
 
5/ fais la meme manip avec Network Monitor
 
 
6/maintenant on supprimer le service:
 
demarrer/executer/ cmd
 
execute cette commande qui est en citation sans le mot citation:
 

Citation :


sc delete cmdService


 
 
7/fais la meme manip avec Network Monitor
 
 
8/lance hijackthis en cliquant sur do a scan system only coche ces lignes:
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm  
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll  
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe  
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,winservnt32.exe  
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll  
O4 - HKLM\..\Run: [Microsoft Explorer] iexplorer.exe  
O4 - HKLM\..\Run: [newname] C:\\nwnmff_14.exe  
O4 - HKLM\..\Run: [ntdll.dll] "C:\Program Files\QuickTime\qttask.exe" -atboottime  
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_14.exe  
O4 - HKLM\..\Run: [defender] C:\\dfndrff_14.exe  
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe  
O4 - HKLM\..\RunServices: [Microsoft Explorer] iexplorer.exe  
O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe  
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"  
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe  
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe  
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm  
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm  
 
Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked
 
 
9/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés
Décocher la case : Masquer les extensions des fichiers dont le type est connu
Décocher la case : Masquer les fichiers protégés du système d'exploitation
cliquer sur "Appliquer"
cliquer sur le bouton "Appliquer à tous les dossiers" / OK


 
10/supprime ce qui est en gras:
 
C:\Program Files\ Deskbar<== tout le dossier
C:\Program Files\ Network Monitor<== tout le dossier
C:\WINNT\ RFNJVA<== tout le dossier
C:\Program Files\ TheSearchAccelerator<== tout le dossier
C:\\ nwnmff_14.exe<== le fichier
C:\\ kybrdff_14.exe<== le fichier
C:\\ dfndrff_14.exe<== le fichier
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ ibm00001.exe<== le fichier
C:\WINNT\system32\ msijavaup32.exe<== le fichier  
C:\WINNT\web\ related.htm<== le fichier  
C:\WINNT\system32\ javanet.exe<== le fichier
C:\WINNT\system32\ msjava.exe<== le fichier
C:\WINNT\system32\ xpjavams.exe<== le fichier
C:\WINNT\system32\ wunosjava.exe<== le fichier
C:\WINNT\system32\ creative.exe<== le fichier
C:\WINNT\system32\ netapi.exe<== le fichier
C:\WINNT\system32\ msguard.exe<== le fichier
C:\WINNT\system32\ javaapplets.exe<== le fichier
C:\WINNT\system32\ jconsole.exe<== le fichier
C:\WINNT\system32\ winservnt32.exe<== le fichier
 
 
11/

Citation :

demarrer,rechercher,clique sur tous les fichiers et tout les dossiers, clique sur les deux petites fleches a cotes de options avancées
et coche rechercher dans les fichiers et dossiers cachés.


 
recherche (demarrer/rechercher) et supprime ce fichier si tu le trouves:
 
 
iexplorer.exe
 
 
12/ Relance Ewido et clique sur [color=#3333FF]Scanner [/color]
Puis sur l'onglets [color=#3333FF]Settings[/color], pour [color=#3333FF]How to Act [/color]sélèctionne [color=#3333FF]Quarantine[/color].
 
Reviens a l'onglet [color=#3333FF]Scan[/color] cliques [color=#3333FF]Complete system Scan[/color].  
Le scan démarre.
 
A la fin cliquer sur [color=#3333FF]Apply all actions[/color]
Puis sur [color=#3333FF]Save report [/color]et pour finir [color=#3333FF]Save report as[/color]  enregistrer sur le Bureau.  
 
 
13/redemarre en mode normal
 
14/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.
 
bon courage, et si tu as la moindre question n'hesite surtout pas ;)
 
@+


Message édité par the bruce lee le 31-08-2006 à 20:46:52
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed