Bonjour,
Je reviens de chez un ami qui malheuresement a été victime d'une invasion de spywares, virus, trojans...et biensûr ça tombe toujours sur les débutants en info. Bref, son fond d'écran change de couleur, il a de la pub pour des logiciels anti-spywares, des fenêtres qui s'ouvrent au démarrage...
J'avoue avoir jamais vu autant de problèmes sur un PC et j'avoue aussi ne pas pouvoir l'aider vu la gravité et je suis loin d'être un expert en hijackthis.
Bref, je lui ai fait faire un log avec hijackthis que voici :
Logfile of HijackThis v1.99.1
Scan saved at 18:10:19, on 21/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msole32.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\system32\shnlog.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant
Updater\RuLaunch.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\system32\intmonp.exe
C:\WINDOWS\system32\intmon.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\abc\LOCALS~1\Temp\Répertoire temporaire 1 pour
hijackthis_199.zip\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
http://www.bestwebslinks.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} -
C:\WINDOWS\system32\hp7501.tmp
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB}
- C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program
Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"
/background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program
Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe"
/STARTMONITOR
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
/background
O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft. [...] 5729468002
O20 - Winlogon Notify: style32 - C:\WINDOWS\q122325_disk.dll
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. -
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers
communs\Network Associates\McShield\Mcshield.exe
------------------
Donc j'aurais besoin de vos conseils sur ce log !
Pour lui virer ces problèmes je pense donc
1) supprimer les entrées que vous m'aurez dit de virer dans hijackthis
2) passer ad-aware, spybot et mcafee (tout ça à jour biensur)
Je pense que comme ça, ça devrait le faire.
Autre chose, j'ai fait le log hijackthis en mode normal pensant qu'on y verrait plus clair sur les problèmes.
Mais je suppose que pour supprimer les entrées il faudra passer en mode sans échec non ? Mais Hijackthis verra t-il les du coup les mêmes lignes en mode sans échec.
Merci
NB : je découvre ce forum, ce message a déjà été posté dans un autre forum mais la section sécurité semble plus active ici alors j'espère que vous pourrez m'aider ;-) .
Bonsoir,
Fais déjà ceci :
1/ Télécharge SmitfraudFix
Dézippe-le sur le Bureau.
Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l'option 1 (Recherche)
Poste le rapport ici
2/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Relance SmitfraudFix et choisis cette fois l’option 2 et réponds oui à chaque question
Sauvegarde le rapport.
3/ Redémarre normalement et poste le 2ème rapport de SmitfraudFix
EDIT : ensuite poste un nouveau rapport HJT.
Merci pour la réponse.
Je lui passe un coup de fil ce soir pour lui faire faire.
Déja applique ton idée :
Spybots et Ad-Aware et un coup d'antivirus comme tu avais penser.
Ensuite qu'il redonne un raport, on veras les récalcitrant.
Bonjour,
pour FodZy :
C:\WINDOWS\system32\msole32.exe
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\intmonp.exe
C:\WINDOWS\system32\intmon.exe
--> signes d'une infection SmitFraud (très coriace)
Pourquoi attendre pour virer cette saleté ?
Pour smitfraudfix je pense que ça a marché!
voici son 1er rapport :
"SmitFraudFix v1.85
Rapport fait à 22:00:34,11 le 22/09/2005
Executé à partir de C:\Documents and
Settings\abc\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS
C:\WINDOWS\popuper.exe PRESENT !
C:\WINDOWS\sites.ini PRESENT !
C:\WINDOWS\uninstIU.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32
C:\WINDOWS\system32\hhk.dll PRESENT !
C:\WINDOWS\system32\hp????.tmp PRESENT !
C:\WINDOWS\system32\intell32.exe PRESENT !
C:\WINDOWS\system32\intmon.exe PRESENT !
C:\WINDOWS\system32\intmonp.exe PRESENT !
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\mscornet.exe PRESENT !
C:\WINDOWS\system32\mssearchnet.exe PRESENT !
C:\WINDOWS\system32\msmsgs.exe PRESENT !
C:\WINDOWS\system32\msole32.exe PRESENT !
C:\WINDOWS\system32\msvol.tlb PRESENT !
C:\WINDOWS\system32\ncompat.tlb PRESENT !
C:\WINDOWS\system32\nvctrl.exe PRESENT !
C:\WINDOWS\system32\ole32vbs.exe PRESENT !
C:\WINDOWS\system32\shnlog.exe PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !
C:\WINDOWS\system32\date.ico PRESENT !
C:\WINDOWS\system32\network.ico PRESENT !
C:\WINDOWS\system32\pharm.ico PRESENT !
C:\WINDOWS\system32\spam.ico PRESENT !
C:\WINDOWS\system32\spyware.ico PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and
Settings\abc\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\abc\Bureau
C:\Program Files\PSGuard\ PRESENT!
C:\Documents and Settings\abc\Application Data\Shudder Global Limited
PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 07/09/2005
!!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\system32\intell32.exe
»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé
HKLM\SOFTWARE\SHUDDERLTD
HKLM\SOFTWARE\SHUDDERLTD Présent !
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport"
voici le 2ème rapport qui montre que le problème a été résolu :
"SmitFraudFix v1.85
Rapport fait à 22:19:38,34 le 22/09/2005
Executé à partir de C:\Documents and
Settings\abc\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\popuper.exe supprimé
C:\WINDOWS\sites.ini supprimé
C:\WINDOWS\uninstIU.exe supprimé
C:\WINDOWS\system32\hhk.dll supprimé
C:\WINDOWS\system32\hp????.tmp supprimé
C:\WINDOWS\system32\intell32.exe supprimé
C:\WINDOWS\system32\intmon.exe supprimé
C:\WINDOWS\system32\intmonp.exe supprimé
C:\WINDOWS\system32\ld????.tmp supprimé
C:\WINDOWS\system32\mscornet.exe supprimé
C:\WINDOWS\system32\mssearchnet.exe supprimé
C:\WINDOWS\system32\msmsgs.exe supprimé
C:\WINDOWS\system32\msole32.exe supprimé
C:\WINDOWS\system32\msvol.tlb supprimé
C:\WINDOWS\system32\ncompat.tlb supprimé
C:\WINDOWS\system32\nvctrl.exe supprimé
C:\WINDOWS\system32\ole32vbs.exe supprimé
C:\WINDOWS\system32\shnlog.exe supprimé
C:\WINDOWS\system32\wppp.html supprimé
C:\WINDOWS\system32\date.ico supprimé
C:\WINDOWS\system32\network.ico supprimé
C:\WINDOWS\system32\pharm.ico supprimé
C:\WINDOWS\system32\spam.ico supprimé
C:\WINDOWS\system32\spyware.ico supprimé
C:\Program Files\PSGuard\ supprimé
C:\Documents and Settings\abc\Application Data\Shudder Global Limited\
supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
HKLM\SOFTWARE\SHUDDERLTD supprimé
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport"
--------------------
Je lui ai fait faire ça par téléphone donc j'ai pas pu tester complètement le PC mais il m'a dit que déjà son fond d'écran est redevenu normal et qu' il n' a pas eu de fenêtres qui s'ouvrent toutes seules au démarrage. En fait depuis le reboot, il me dit ne rien avoir remarqué de bizarre cependant comme je lui ai dit ça ne veut pas dire que tout est clean.
Donc que reste-t-il à faire maintenant : un simple scan adware+spybot+antivirus ou faut-il encore faire des choses avant grace à hijackthis ?
Et Merci pour le coup de main !
Tu fais Ad-aware, Spybot et antivirus en mode sans échec.
Ensuite poste un nouveau rapport de HJT pour vérif.
Ok, je vais lui faire faire ça demain
Du nouveau :
En mode sans echec je lui ai fait faire :
Suppression des fichiers temporaires, cookies...
Analyse Mcafee Viruscan : 14 virus detectés, 14 supprimés donc ok.
Analyse ad-aware : suppression de tous les criticals objects... : ok
(logiciels à jour biensur)
Pas fait spybot car ce soir leur serveur marchait pas trop donc impossible de faire les maj. J'ai essayé chez moi et ça le faisait aussi. Donc faudra faire spybot demain ou dimanche.
MAIS, j'ai regardé après le nettoyage ce qu'il y avait dans ajout/suprresion de prog (j'ai pas pensé à le faire avant !), bref il reste des trucs pas sympas :
icoo loader 2.5, razespyware, regfreeze 5.3.1, spywareblaster v3.4 ! Il y a aussi msn et barre d'outils msn : je n'utilise pas msn mais je sais que il y a des trucs dangereux avec donc est-ce que ces progs sont bien les progs officiels parceque je sais pas ce qu'il s'est permis d'installer.
Bref pour icoo loader... je suppose qu'il faut supprimer. je ne l'ai pas fait, j'attends ton avis.
ça se vire simplement par ajout/suppression de prog?
Après les avoir supprimés je pense qu'il faudra aussi refaire ad-aware...
Voici le dernier log hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 23:40:28, on 23/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant
Updater\RuLaunch.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\DOCUME~1\abc\LOCALS~1\Temp\Répertoire temporaire 2 pour
hijackthis_199.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
http://www.bestwebslinks.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
O2 - BHO: C:\WINDOWS\adsldpbc.dll -
{405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll (file
missing)
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB}
- C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program
Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"
/background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program
Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe"
/STARTMONITOR
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
/background
O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.coolwebsearch.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft. [...] 5729468002
O20 - Winlogon Notify: style32 - C:\WINDOWS\q122325_disk.dll
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. -
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers
communs\Network Associates\McShield\Mcshield.exe
Voila j'attends tes "directives"
Merci
Bonsoir,
1/ Désinstalle icoo loader 2.5, razespyware, regfreeze 5.3.1
Garde spywareblaster v3.4 (protège contre les ActiveX hostiles)
2/ Redémarre en mode sans échec, lance HijackThis et fixe les lignes suivantes :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
http://www.bestwebslinks.com/
O2 - BHO: C:\WINDOWS\adsldpbc.dll -
{405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll (file
missing)
O15 - Trusted Zone: *.coolwebsearch.com
O20 - Winlogon Notify: style32 - C:\WINDOWS\q122325_disk.dll
3/ Supprime le fichier C:\WINDOWS\q122325_disk.dll
4/ Redémarre normalement et poste un rapport HJT pour vérif.
J'ai fait ce que tu m'as dit de faire(suppression icoo loader etc...(NB : regfreeze se serait supprimé tout seul en virant razespyware); et hijackthis) mais, je n'ai pas pu faire l'étape 3 : "suppression du fichier q122325_disk.dll" : le PC ne voulait pas le supprimer : fameuse erreur :"accès au fichier impossible, impossible de supprimer blabla...". J'ai essayé de le faire en mode sans echec et en mode normal. Donc ça ça pose problème.
Autre chose : en mode sans echec le PC ne fonctionne que en cliquant sur le nom d'utilisateur, en adminstrateur il me dit ne pas pourvoir cliquer sur le bouton démarrer ! ça le faisait aussi hier mais comme hier on a pu tout faire j'ai laissé filer. Mais là peut-être que pour supprimer ce fichier il faut être en mode sans échec + administrateur.(Mais son compte utilisateur ne devrait pas être bridé puisqu'on a pu tout faire sauf ça et qu'il est le seul utilisateur.)
Encore une chose : j'ai du lui virer mcafee car il se mettait à faire des messages : virus detecté...
enfin il était débordé(il le faisait aussi hier) mais le problème c'est que ça devient vite chiant car biensur quand tu cliques sur supprimer il veut rien savoir alors tu peux plus fermer la fenêtre. Bref je l'ai viré (pourtant chez moi je suis content de cet antivirus) donc si tu as un bon antivirus freeware ou en ligne à conseiller n'hesite pas.
Au fait, j'ai pas pensé à le faire plutôt, je lui ai fait virer le cache de java(applets...) car ça aussi c'est un nid à m*rde.
En résumé : pour l'instant il me dit déjà ne plus avoir de fenêtres intempestives au démarrage mais je lui ai dit que c'est pas pour autant clean et que ça peut revenir.
Voici le dernier log hijackthis : on voit que les mauvaises lignes R1...sont bien supprimées mais par contre une nouvelle O15-trusted zone est venue en plus de celle qui existait déjà ! je sais pas comment elle est arrivée ici.
LOG :
Logfile of HijackThis v1.99.1
Scan saved at 10:37:42, on 24/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\abc\LOCALS~1\Temp\Répertoire temporaire 4 pour
hijackthis_199.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
O2 - BHO: C:\WINDOWS\adsldpbc.dll -
{405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program
Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"
/background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
/background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft. [...] 5729468002
O20 - Winlogon Notify: style32 - C:\WINDOWS\q122325_disk.dll
Encore merci.
Essaie ceci :
1/Télécharge ETRemover_V201.zip
Dézippe-le sur le Bureau.
2/ Télécharge CWShredder
Lance-le et clique sur "Check For Update" pour màj
Télécharge la màj si besoin.
3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
4/ Lance cwshredder.exe et clique sur FIX
5/ Lance ETRemover_v201.exe
Clique sur le bouton "Scan and kill malwares"
A la fin, à la question "C:\WINDOWS\prefetch\*.*, êtes-vous sûr <O/N> ?" répondre O.
6/ Lance HJT et fixe les lignes suivantes si encore présentes :
O2 - BHO: C:\WINDOWS\adsldpbc.dll -
{405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O20 - Winlogon Notify: style32 - C:\WINDOWS\q122325_disk.dll
7/ Redémarre normalement et poste un nouveau rapport HJT.
C'est fait, ça m'a l'air beaucoup mieux mais il reste encore la ligne O20.
Voici le dernier log HJT :
Logfile of HijackThis v1.99.1
Scan saved at 18:03:51, on 24/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\abc\LOCALS~1\Temp\Répertoire temporaire 6 pour
hijackthis_199.zip\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program
Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"
/background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe"
/background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft. [...] 5729468002
O20 - Winlogon Notify: style32 - C:\WINDOWS\q122325_disk.dll
Voila, donc il reste cette ligne : on laisse ou pas ?
Quoiqu'il en soit demain je lui referai faire un spybot+ad-aware+antivirus histoire de recontroler le tout.
En tous cas bravo et merci
Effectivement il reste ça :
O20 - Winlogon Notify: style32 - C:\WINDOWS\q122325_disk.dll
Télécharge win32delfkil.exe
Place-le sur le bureau.
Lance-le.
Le dossier win32delfkil est créé.
Ferme tous les prog, toutes les fenêtres.
Ouvre ce dossier et double-clic sur fix.bat
Le PC redémarrera et normalement il sera désinfecté de cette saleté.
C'est bon , la ligne n'est plus présente dans le log HJT! Tout semble ok!
Bravo et Merci ;-)
Content d'avoir pu t'aider.
;-)
Il y a 2134 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
