Aidez moi ou appelez l'asileFermé

Question

Bonjour,Je viens de recuperer une veritable bouze au bureau, mon predecesseur ne prenait vraiment pas de precaution particuliere avec son pc, du coup j'ai plein pop up qui s'ouvre et de soft qui s'intalle dont un truc qui s'appel "Securiti Iguard" et bien sur une page web non demandee en page d'acceuil.J'ai deja virer pas mal de truc mais rien n'y fait il en reste encore et toujours, donc tout conseils seraient le bienvenue.Merci d'avance. GribouyeLogfile of HijackThis v1.99.1Scan saved at 5:24:08 PM, on 3/15/2005Platform: Windows 2000 SP4 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exeC:\WINNT\System32\svchost.exeC:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exeC:\WINNT\System32
vsvc32.exeC:\WINNT\system32egsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\system32\svchost.exeC:\WINNT\Explorer.EXEC:\Program Files\Winamp\winampa.exeC:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exeC:\Program Files\iTunes\iTunesHelper.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\iPod\bin\iPodService.exeC:\WINNT\system32\fdfwmmay.exeC:\Program Files\Common Files\Real\Update_OBealsched.exeC:\WINNT\system32\packager.exeC:\Program Files\Microsoft ActiveSync\WCESCOMM.EXEC:\WINNT\system32\us3432xzcb.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\WINNT\system32\NOTEPAD.EXEC:\Program Files\WebSiteViewer\126078.dlrD:\Softwares\Hijiackthis2\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\s5\LOCALS~1\Temp\sp.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\s5\LOCALS~1\Temp\sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.yahoo.frR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.yahoo.frR1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.yahoo.frR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\s5\LOCALS~1\Temp\sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\s5\LOCALS~1\Temp\sp.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\s5\LOCALS~1\Temp\sp.htmlR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\s5\LOCALS~1\Temp\sp.htmlR0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.yahoo.frR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: PynixObj Class - {00000000-DD60-0064-6EC2-6E0100000000} - C:\WINNT\Pynix.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: (no name) - {D0317B1D-7852-481A-A838-EEA28E9C4692} - C:\WINNT\system32\laocc.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocxO3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initializeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exeO4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exeO4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [fdfwmmay] c:\winnt\system32\fdfwmmay.exeO4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLLO9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLLO9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLLO17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eternals.comO17 - HKLM\System\CCS\Services\Tcpip\..\{79FAB05F-4918-4030-BDFD-0CCCDD957EF4}: NameServer = 192.168.0.204O17 - HKLM\System\CCS\Services\Tcpip\..\{EF79D2F2-6615-40FE-92B0-5473DAED194F}: NameServer = 192.168.0.204O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eternals.comO17 - HKLM\System\CS1\Services\Tcpip\..\{79FAB05F-4918-4030-BDFD-0CCCDD957EF4}: NameServer = 192.168.0.204O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eternals.comO17 - HKLM\System\CS2\Services\Tcpip\..\{79FAB05F-4918-4030-BDFD-0CCCDD957EF4}: NameServer = 192.168.0.204O18 - Filter: text/html - {B2A02049-E642-4A18-8917-767610FCA54D} - C:\WINNT\system32\laocc.dllO18 - Filter: text/plain - {B2A02049-E642-4A18-8917-767610FCA54D} - C:\WINNT\system32\laocc.dllO20 - Winlogon Notify: draw32 - C:\WINNT\SYSTEM32\draw32.dllO20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dllO23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exeO23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32
vsvc32.exe

ghost · Answer

fait une bonne mise a jour avec le cd original de ton systeme d' exploitation.. moi je veux bien appeler l'asile mais je n'ai pas le numéro!!Ghost

nico54 · Answer

Salut !
as tu essayé avec ces anti malwares ?
sinon, utilise les :
A2 Free (anti-trojans et worms)
http://www.emsisoft.net/fr/software/download/

Anti-spyware :

Ad-Aware :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html

Le patch en Français pour Ad-Aware :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html

SpywareBlaster :
http://www.ordi-netfr.com/spywareblaster.html

Spybot :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html

Si ca ne va toujours pas, relance 1 hijackthis et copier/coller du log ici.

balltrap34 · Answer

salut
imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
tous da bord telecharge ces programmes et met les a jour mais ne les utilise pas encore
adaware (1)
spyboot (2)
(ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm
----------------

demarre en mode sans echec
mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------
desactive ta restauration systeme
pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------

assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer
----------------------
vide tes fichiers temps et tempory internet file sur tous les utilisateur
utilise ceci pour le faire
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

--------------------

relance hijack coche ces lignes et ensuite clik sur fix

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\s5\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\s5\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\s5\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\s5\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\s5\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\s5\LOCALS~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: PynixObj Class - {00000000-DD60-0064-6EC2-6E0100000000} - C:\WINNT\Pynix.dll
O2 - BHO: (no name) - {D0317B1D-7852-481A-A838-EEA28E9C4692} - C:\WINNT\system32\laocc.dll
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [fdfwmmay] c:\winnt\system32\fdfwmmay.exe
O18 - Filter: text/html - {B2A02049-E642-4A18-8917-767610FCA54D} - C:\WINNT\system32\laocc.dll
O18 - Filter: text/plain - {B2A02049-E642-4A18-8917-767610FCA54D} - C:\WINNT\system32\laocc.dll
O20 - Winlogon Notify: draw32 - C:\WINNT\SYSTEM32\draw32.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll

----------------------

recherche et suppr ceci
attention seulement les fichiers
C:\DOCUME~1\s5\LOCALS~1\Temp\sp.html
C:\WINNT\Pynix.dll
C:\WINNT\system32\laocc.dll
c:\winnt\system32\fdfwmmay.exe
C:\WINNT\SYSTEM32\draw32.dll
C:\WINNT\system32\NavLogon.dll

---------------

passe adaware et vire tous se qu il trouve

----------
passe spy boot et vire tous se qu il trouvent
-------------
tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

--

djé · Answer

hello, a mon avis, vu ton log, si t as suivi les conseils ca doit allé deja beaucoup mieux!

par contre, j ai regardé le log, et j avais une des tes O4 qu on m avait conseillé de supprimer aussi, attends juste que qq1 de plus experimenté confirme,

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

A moin qu il pourrait s agir la d un lecteur virtuelle comme daemon tool que tu utilises..

++

gribouye · Answer

Merci beaucoup, On y voit deja beaucoup plus clair sans tous ces popups

Aidez moi ou appelez l'asile

5 réponses

Discussions similaires

Newsletters