Se connecter avec
S'enregistrer | Connectez-vous

SiouPlait Big Probleme POPUPS CHERCHEUR PCA

Dernière réponse : dans Sécurité

Bonjour,
voilà précédemment g posté un sujet à cause de spymachin qui se connecté directement au démarrage du PC, grace a votre aide, je n'ai plus de soucis avec c'te dob'..par contre et c'est là que vous intervenez ;-), j'ai d'énormes mais alors ENORME probleme de popups...en effet ces foutus Machins s'ouvrent à longueur de temps, et c'est plus possible, tellement fréquent (environ ttes les 10mns) que je n'peux jouer à aucun jeux sans revenir au bureau...quelqu'un aurait-il une idée voici mon hijackthis :
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\bWlrYQ\command.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\mika\LOCALS~1\Temp\Rar$EX00.063\HijackThis.exe
C:\DOCUME~1\mika\LOCALS~1\Temp\Rar$EX00.938\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [rvec82f6] RUNDLL32.EXE w009abb5.dll,n 001c82f50000000a009abb5
O4 - HKCU\..\Run: [Steam] C:\Program Files\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\eMule.exe -AutoStart
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF5280D0-B4A2-4402-BBB3-75C1CCB67E81}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\regedit.dll
O20 - Winlogon Notify: CSCSettings - C:\WINDOWS\system32\s4rs0e97eh.dll
O20 - Winlogon Notify: winexy32 - C:\WINDOWS\SYSTEM32\winexy32.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\bWlrYQ\command.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

1000 mercis!!

Autres pages sur : siouplait big probleme popups chercheur pca

Lassé par la pub ? Créez un compte

Bonsoir

Plusieurs infections.

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix.
Télécharge Look2Me-Destroyer.exe sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=7

* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
* Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
* Lorsque le scan termine, clique sur le bouton Remove L2M
* Un message Done Scanning apparaîtra, clique OK.
* Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
* Ton PC va maintenant s'éteindre.
* Démarre ton PC normalement.
* Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

#Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

Bonjour PCAChercheur, en fait' j'espérais ton aide en postant ici mon probleme, javais vu que sur plusieurs soucis d'internautes tu étais intervenu avec succés. alors 1000 mercis pour ton aide, (ah oui dsl du retard,dans ma réponse mais zété en vac., donc mais à peine rentré je suis déjà là!!)
Bon j'pense avoir suivi à la lettre ton 1er topos et voici donc le rapport look2me :

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 06/08/2006 23:43:11

Infected! C:\WINDOWS\system32\ktlol7331.dll
Infected! C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP91\A0015200.dll
Infected! C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0015330.dll
Infected! C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0015331.dll
Infected! C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0015332.dll
Infected! C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0016340.dll
Infected! C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0016370.dll
Infected! C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016438.dll
Infected! C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016467.dll
Infected! C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016468.dll
Infected! C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016480.dll
Infected! C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016491.dll
Infected! C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0017501.dll
Infected! C:\WINDOWS\system32\dorawex.dll
Infected! C:\WINDOWS\system32\g2lm0c31ef.dll
Infected! C:\WINDOWS\system32\j6p00g7me6.dll

Attempting to delete infected files...

Attempting to delete: C:\WINDOWS\system32\ktlol7331.dll
C:\WINDOWS\system32\ktlol7331.dll could not be deleted!

Attempting to delete: C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP91\A0015200.dll
C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP91\A0015200.dll could not be deleted!

Attempting to delete: C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0015330.dll
C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0015330.dll could not be deleted!

Attempting to delete: C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0015331.dll
C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0015331.dll could not be deleted!

Attempting to delete: C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0015332.dll
C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0015332.dll could not be deleted!

Attempting to delete: C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0016340.dll
C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0016340.dll could not be deleted!

Attempting to delete: C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0016370.dll
C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP92\A0016370.dll could not be deleted!

Attempting to delete: C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016438.dll
C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016438.dll could not be deleted!

Attempting to delete: C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016467.dll
C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016467.dll could not be deleted!

Attempting to delete: C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016468.dll
C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016468.dll could not be deleted!

Attempting to delete: C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016480.dll
C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016480.dll could not be deleted!

Attempting to delete: C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016491.dll
C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0016491.dll could not be deleted!

Attempting to delete: C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0017501.dll
C:\System Volume Information\_restore{7D18C2D2-EA72-492C-B544-0FD7575CAEF3}\RP94\A0017501.dll could not be deleted!

Attempting to delete: C:\WINDOWS\system32\dorawex.dll
C:\WINDOWS\system32\dorawex.dll could not be deleted!

Attempting to delete: C:\WINDOWS\system32\g2lm0c31ef.dll
C:\WINDOWS\system32\g2lm0c31ef.dll could not be deleted!

Attempting to delete: C:\WINDOWS\system32\j6p00g7me6.dll
C:\WINDOWS\system32\j6p00g7me6.dll could not be deleted!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\App Management

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{2F421CD6-A4A8-4313-A92A-7003ABE4AA10}"
HKCR\Clsid\{2F421CD6-A4A8-4313-A92A-7003ABE4AA10}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{68F0B6E6-39E3-4EF7-83AA-C1BCD6CCEEDA}"
HKCR\Clsid\{68F0B6E6-39E3-4EF7-83AA-C1BCD6CCEEDA}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{01917A36-F835-4A73-BB4F-3C33A6126310}"
HKCR\Clsid\{01917A36-F835-4A73-BB4F-3C33A6126310}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{8249CB8C-2D36-464E-BF99-9426186A9999}"
HKCR\Clsid\{8249CB8C-2D36-464E-BF99-9426186A9999}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{2D945A45-65EE-4B85-8D7E-52A4E2A838C7}"
HKCR\Clsid\{2D945A45-65EE-4B85-8D7E-52A4E2A838C7}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administrateurs - Succeeded

+ 1 nouveau hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 23:54:49, on 06/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\DOCUME~1\mika\APPLIC~1\WNSXS~1\netdde.exe
C:\Documents and Settings\mika\Application Data\?asks\l?ass.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\bWlrYQ\command.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\TEMP\win69F.tmp.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\mika\LOCALS~1\Temp\Rar$EX00.141\HijackThis.exe
C:\DOCUME~1\mika\LOCALS~1\Temp\Rar$EX00.500\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oragne.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {CB2CA029-3A99-6119-EDC9-41B6A99C2497} - C:\WINDOWS\system32\fqe.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: (no name) - {CB2CA029-3A99-6119-EDC9-41B6A99C2497} - C:\WINDOWS\system32\fqe.dll
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\Safety Bar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [rvec82f6] RUNDLL32.EXE w009abb5.dll,n 001c82f50000000a009abb5
O4 - HKCU\..\Run: [Steam] C:\Program Files\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Aros] "C:\DOCUME~1\mika\APPLIC~1\WNSXS~1\netdde.exe" -vt yazr
O4 - HKCU\..\Run: [Qiutxur] C:\Documents and Settings\mika\Application Data\?asks\l?ass.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\regedit.dll C:\WINDOWS\system32\wowexec.dll
O20 - Winlogon Notify: winexy32 - C:\WINDOWS\SYSTEM32\winexy32.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\bWlrYQ\command.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

voilà en espérant te (re) voir bientot merci encore!!

Tu as peut être été en vacances, mais tu as encore plus d'infection.

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

&& Télécharge Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

&& Clique sur ce lien
http://www.google.com/search?hl=fr&q=Alcanshorty&btnG=Rechercher&lr=
Ensuite
FAIS UN CLIC-DROIT sur le premier lien (celui de metallica)
et choisis "Enregistrer la cible sous..." afin de télécharger Alcanshorty.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : Alcanshorty.bfu et BFU.exe (très important).

&& Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

&& Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Alcanshorty.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Alcanshorty.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

&& Redémarre normalement

&& Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Tu le dézippes sur le Bureau.
Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1

Postes le rapport.

dsl du retard, mais g eu un pb avec le mode SE, chez moi c'est la touche F5, enfin bon après avoir suivi ta demarche a la lettre, voici le rapport smitfraud

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ishost.exe PRESENT !
C:\WINDOWS\system32\ismon.exe PRESENT !
C:\WINDOWS\system32\isnotify.exe PRESENT !
C:\WINDOWS\system32\issearch.exe PRESENT !
C:\WINDOWS\system32\ixt?.dll PRESENT !
C:\WINDOWS\system32\ixt??.dll PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mika\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\mika\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

On continue

* Télécharge
Ewido
http://www.ewido.net/en/download/
Tu l'installes.
Lance Ewido et clique sur le bouton Update (barre d'outils - au haut).
Sous Manual Update clique Start update. Patiente jusqu'à l'affichage "Update successful".

CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

* Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.

* Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.

* Lance le nettoyage avec CCleaner.

* Lance Ewido. Clique sur le bouton Scanner (de la barre d'outils)
Puis sur l'onglets Settings, pour How to Act. Clique sur Recommanded Actions. Sélectionne Quarantine.
Reviens a l'onglet Scan. Clique Complete system Scan
A la fin du scan, choisis l'option " Apply All Actions " en bas.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit facile à retrouver.

* Redémarres normalement et communiques le deuxième rapport de SmitfraudFix, celui d'Ewido avec un nouveau rapport Hijackthis.

dsl 25 mn de scan ewido
voici le rapport smitfraud (je lai relancé 2 fois, je savais pas qu'il fallait le sauvegarder dsl) :
SmitFraudFix v2.73

Rapport fait à 0:55:45,35, 07/08/2006
Executé à partir de C:\Telechargement\smitfraud\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

rapport ewido :
C:\WINDOWS\system32\ktlol7331.dll -> Adware.Look2Me : Cleaned with backup (quarantined).
C:\WINDOWS\system32\lpasrv.dll -> Adware.Look2Me : Cleaned with backup (quarantined).
C:\WINDOWS\system32\lv0s09d7e.dll -> Adware.Look2Me : Cleaned with backup (quarantined).
C:\WINDOWS\system32\mcjter40.dll -> Adware.Look2Me : Cleaned with backup (quarantined).
C:\WINDOWS\system32\mixmlr.dll -> Adware.Look2Me : Cleaned with backup (quarantined).
C:\WINDOWS\system32\mv4ml9h11.dll -> Adware.Look2Me : Cleaned with backup (quarantined).
C:\WINDOWS\system32\wtnnls.dll -> Adware.Look2Me : Cleaned with backup (quarantined).
C:\warebundle2.exe -> Adware.Look2Me : Cleaned with backup (quarantined).
C:\warebundlenew.exe -> Adware.Look2Me : Cleaned with backup (quarantined).
C:\warebundlenewer.exe -> Adware.Look2Me : Cleaned with backup (quarantined).
C:\Program Files\Cowabanga\Cowabanga.exe -> Adware.MediaTicket : Cleaned with backup (quarantined).
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx -> Adware.MediaTickets : Cleaned with backup (quarantined).
C:\WINDOWS\YAXUninst.exe -> Adware.MediaTickets : Cleaned with backup (quarantined).
C:\WINDOWS\system32\regedit.dll -> Adware.PurityScan : Cleaned with backup (quarantined).
C:\WINDOWS\system32\wowexec.dll -> Adware.PurityScan : Cleaned with backup (quarantined).
[1004] C:\WINDOWS\system32\wowexec.dll -> Adware.PurityScan : Error during cleaning.
[1296] C:\WINDOWS\system32\wowexec.dll -> Adware.PurityScan : Error during cleaning.
[292] C:\WINDOWS\system32\wowexec.dll -> Adware.PurityScan : Error during cleaning.
[348] C:\WINDOWS\system32\wowexec.dll -> Adware.PurityScan : Error during cleaning.
[360] C:\WINDOWS\system32\wowexec.dll -> Adware.PurityScan : Error during cleaning.
[524] C:\WINDOWS\system32\wowexec.dll -> Adware.PurityScan : Error during cleaning.
[576] C:\WINDOWS\system32\wowexec.dll -> Adware.PurityScan : Error during cleaning.
[624] C:\WINDOWS\system32\wowexec.dll -> Adware.PurityScan : Error during cleaning.
C:\Program Files\DAEMON Tools\SetupDTSB.exe -> Adware.SaveNow : Cleaned with backup (quarantined).
HKLM\SOFTWARE\Classes\WUSE.1 -> Adware.SaveNow : Cleaned with backup (quarantined).
HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Cleaned with backup (quarantined).
C:\Program Files\Fichiers communs\riwm\riwmd\riwmc.dll -> Adware.TargetServer : Cleaned with backup (quarantined).
C:\WINDOWS\iconu.exe -> Adware.Zestyfind : Cleaned with backup (quarantined).
C:\WINDOWS\system32\w009abb5.dll -> Downloader.Small : Cleaned with backup (quarantined).
C:\WINDOWS\MTE3NDI6ODoxNg.exe -> Downloader.Small.buy : Cleaned with backup (quarantined).
C:\Program Files\Fichiers communs\riwm\riwmp.exe -> Downloader.TSUpdate.f : Cleaned with backup (quarantined).
C:\Program Files\Fichiers communs\riwm\riwma.exe -> Downloader.TSUpdate.l : Cleaned with backup (quarantined).
C:\Program Files\Fichiers communs\riwm\riwmm.exe -> Downloader.TSUpdate.n : Cleaned with backup (quarantined).
C:\Program Files\Fichiers communs\riwm\riwml.exe -> Downloader.TSUpdate.p : Cleaned with backup (quarantined).
HKU\S-1-5-21-602162358-1078145449-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DC9377A2-2E8D-44A1-99DB-F8A821DF254D} -> Hijacker.Generic : Cleaned with backup (quarantined).
C:\WINDOWS\system32\components\flx5.dll -> Not-A-Virus.Hoax.Win32.Renos.dw : Cleaned with backup (quarantined).
C:\WINDOWS\system32\winexy32.dll -> Trojan.Mezzia : Cleaned with backup (quarantined).


::Report end

rapport hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 01:29:47, on 07/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\DOCUME~1\mika\APPLIC~1\WNSXS~1\netdde.exe
C:\Documents and Settings\mika\Application Data\?asks\l?ass.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Telechargement\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {CB2CA029-3A99-6119-EDC9-41B6A99C2497} - C:\WINDOWS\system32\fqe.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {CB2CA029-3A99-6119-EDC9-41B6A99C2497} - C:\WINDOWS\system32\fqe.dll
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\Safety Bar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [rvec82f6] RUNDLL32.EXE w009abb5.dll,n 001c82f50000000a009abb5
O4 - HKCU\..\Run: [Steam] C:\Program Files\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Aros] "C:\DOCUME~1\mika\APPLIC~1\WNSXS~1\netdde.exe" -vt yazr
O4 - HKCU\..\Run: [Qiutxur] C:\Documents and Settings\mika\Application Data\?asks\l?ass.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\eMule.exe -AutoStart
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=...
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF5280D0-B4A2-4402-BBB3-75C1CCB67E81}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\regedit.dll C:\WINDOWS\system32\wowexec.dll
O20 - Winlogon Notify: winexy32 - winexy32.dll (file missing)
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Bonsoir

Pas d'antivirus, pas de parefeu.
Protège toi avant de continuer.

- 1 (et 1 seul) pare-feu bien paramétré, gratuit
par exemple ZoneAlarm
http://www.zonelabs.com/
et son tutorial
http://speedweb1.free.fr/frames2.php?page=tuto1

- 1 (et 1 seul) antivirus résident bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut), gratuit
par exemple AVAST Home Edition FREE
http://www.avast.com/eng/down_home.html
avec inscription obligatoire
http://www.avast.com/i_kat_207.php?lang=ENG
et son tutorial
http://www.pcentraide.com/index.php?showtopic=120


Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

Supprime SmitfraudFix, ta version est dépassée, c'est maintenant, la 2.81

1 Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Tu le dézippes sur le Bureau.

2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

3 Relance un scan HijackThis et coche les lignes ci-dessous :

R3 - URLSearchHook: (no name) - {CB2CA029-3A99-6119-EDC9-41B6A99C2497} - C:\WINDOWS\system32\fqe.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {CB2CA029-3A99-6119-EDC9-41B6A99C2497} - C:\WINDOWS\system32\fqe.dll
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\Safety Bar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [rvec82f6] RUNDLL32.EXE w009abb5.dll,n 001c82f50000000a009abb5
O4 - HKCU\..\Run: [Aros] "C:\DOCUME~1\mika\APPLIC~1\WNSXS~1\netdde.exe" -vt yazr
O4 - HKCU\..\Run: [Qiutxur] C:\Documents and Settings\mika\Application Data\?asks\l?ass.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=...
O20 - AppInit_DLLs: C:\WINDOWS\system32\regedit.dll C:\WINDOWS\system32\wowexec.dll
O20 - Winlogon Notify: winexy32 - winexy32.dll (file missing)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

5 Tu ouvres SmitfraudFix,
Choisis l’option 2 et réponds oui à tout.

6 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINDOWS\system32\fqe.dll
C:\WINDOWS\system32\w009abb5.dll
C:\WINDOWS\system32\wowexec.dll
C:\WINDOWS\system32\regedit.dll
C:\Documents and Settings\mika\Application Data\?asks
C:\Documents and Settings\mika\Application Data\WNSXS --> Commence par

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

7 Lance le nettoyage avec CCleaner.

8 Redémarre normalement et poste un nouveau log HijackThis et le rapport de SmitfraudFix.
Lassé par la pub ? Créez un compte

Créer un nouveau sujet

Tom's guide dans le monde