CLICK ME SUR XP DISQUE PARTITIONNE EN

Salut SOFYP, pour commencer, fais un peu de ménage avec ça :


*** Ad-Aware SE Personal :
Ad-aware

*** Spybot - Search and Destroy :
Spybot Search & Destroy

*** CleanUp :
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

Reposte un autre log HijackThis lorsque tous tes scans seront finis !
@++++

Ok je te fais ca bientot, c est pas compliqué

je suis ton poste

a+

Bonjour,

Méthode a suivre dans l'ordre...
------------------------------------------------------------­---------------------------
¤Télécharge ces 3 logiciels mais que tu n utilises pas tout de suite:

1/Ad-Aware :
http://telecharger.01net.com/windows/Internet/internet_utlit­aire/fiches/11643.html

Le patch en Français pour Ad-Aware :
http://telecharger.01net.com/windows/Internet/internet_utlit­aire/fiches/25543.html

2/Spybot :
http://telecharger.01net.com/windows/Internet/internet_utlit­aire/fiches/26157.html

3/Clean Up 312:
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
-----------------------------------------
¤Démarre en mode sans echec :
Pour cela, tu tapote la touche F8 des le debut de l allumage du pc sans t arreter
Une fenetre va souvrir tu te deplaces avec les fleches du clavier sur demarrer en mode sans echec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------
¤Désactive ta restauration systeme:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer !
---------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as telecharger avant)
3/http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
--------------------------------------------
¤Relance Hijack This, coche les cases devant ces lignes et ensuite clik sur fix:

O4 - HKLM\..\Run: [Admanager Controller] E:\Program Files\Admanager Controller\AdManCtl.exe

O4 - HKLM\..\Run: [lQPin] E:\windows\temp\lQPin.exe


O4 - HKLM\..\Run: [ASDPLUGIN] E:\WINDOWS\System32\france.exe -N

O4 - HKLM\..\Run: [ngd] E:\WINDOWS\ngd.exe

O4 - HKLM\..\Run: [PngV7Xj] E:\WINDOWS\nvyfmsl.exe

O4 - HKLM\..\Run: [salm] e:\temp\salm.exe

O4 - HKLM\..\Run: [PngV÷h$æÆõö/ØF%)ßfE:\Program Files\ISTsvc\istsvc.exe] E:\WINDOWS\nvyfmsl.exe

O4 - HKLM\..\Run: [PngV÷h$æÆßfÏNb½¾õE:\Program Files\ISTsvc\istsvc.exe] E:\WINDOWS\nvyfmsl.exe

O4 - HKLM\..\Run: [checkrun] E:\windows\system32\eliteveg32.exe

O4 - HKLM\..\Run: [HELPER] E:\WINDOWS\System32\france.exe -N

------------------------------------------

¤Recherche et supprime ceci:
attention seulement les fichiers

E:\WINDOWS\nvyfmsl.exe

E:\windows\temp\lQPin.exe

E:\windows\system32\eliteveg32.exe

E:\WINDOWS\System32\france.exe -N

e:\temp\salm.exe

E:\Program Files\Admanager Controller\AdManCtl.exe

---------------------------------
Passe adaware et vire tous se qu il trouve
----------------------------------
Passe spybot et vire tous se qu il trouve
-----------------------------------
Tu vide ta poubelle et tu redemarre en mode normal et refait un Hijack
---------------------------------
¤Reactive ta restauration systeme:

Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu décoche la case désactiver la restauration et applique
----------------------------
Tu caches tes fichiers cachés:

Clique sur démarrer/panneau de configuration/option des dossiers/affichage


Décocher afficher les dossiers cacher

Coche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Cocher masquer les extensions dont le type est connu

Puis fais «Ok» pour valider les changements.
-----------------------------------------------

Precise tes soucis si il en restes....et reposte un log pour savoir ou on en est

Tiens moi au courant

a+

Re,
essai de passer cette etape mais a la fin pose moi un log de verif pr voir si ca a marcher

a+

Et voilà j'ai fait toute les manipulations mais à nouveau click me vient d'apparaître sur mon ordinateur ; j'en ai marrrrrrrrr
voilà mon dernier log :
Logfile of HijackThis v1.99.1
Scan saved at 14:21:25, on 16/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
E:\Program Files\Norton AntiVirus\navapsvc.exe
E:\Program Files\Norton Personal Firewall\NISUM.EXE
E:\WINDOWS\System32\snmp.exe
E:\Program Files\Norton Personal Firewall\NISSERV.EXE
E:\PROGRA~1\NORTON~1\navapw32.exe
E:\Program Files\Norton Personal Firewall\IAMAPP.EXE
E:\WINDOWS\System32\ctfmon.exe
E:\Program Files\Norton Personal Firewall\SymProxySvc.exe
E:\Program Files\Norton Personal Firewall\ATRACK.EXE
E:\Program Files\Messenger\msmsgs.exe
E:\Documents and Settings\sophie\Bureau\PROTECTION\log\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Auto Updates] slserves.exe
O4 - HKLM\..\Run: [NAV Agent] E:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] E:\Program Files\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [lQPin.exe] E:\windows\temp\lQPin.exe
O4 - HKLM\..\Run: [checkrun] E:\windows\system32\eliteveg32.exe
O4 - HKLM\..\RunServices: [NAV Auto Updates] slserves.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NAV Auto Updates] slserves.exe
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - E:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - E:\Program Files\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - E:\Program Files\Norton Personal Firewall\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - E:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - E:\Program Files\Norton Personal Firewall\SymProxySvc.exe

j'arrete pas d'avoir le message :
erreur / voulez un débogage ...

a+

Re,
fix celle la:
O4 - HKLM\..\Run: [checkrun] E:\windows\system32\eliteveg32.exe

puis suopprime en gras:

E:\windows\system32\eliteveg32.exe

verifie que celle la a disparu:
:\WINDOWS\System32\france.exe -N

refais un hijack; et ces messages qui te les envois, service windows?

a+

Salut sofyp

telecharge lqfix ici et enregistre le sur le disque ou windows est installé (E il me semble):
http://users.pandora.be/bluepatchy/LQfix.zip
mais ne l'utilise pas pour l'instant

-= 1 =-
Pour ne pas se retrouver avec des points de restau systeme infectés il vaut mieux la désactiver avant.

Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher la case "désactiver la restauration système".
valider
(accepte le redemarrage).

-= 2 =-
Les manips doivent etres faites en mode sans echecs
Redémarrer en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8.
Choisis le mode sans échec dans les options et valide avec entrée.

-= 3 =-
Rendre visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
Valide

_-_-_-_-_-_-_-_-_-_-

� Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:

O4 - HKLM\..\Run: [NAV Auto Updates] slserves.exe
O4 - HKLM\..\Run: [checkrun] E:\windows\system32\eliteveg32.exe
O4 - HKLM\..\Run: [HELPER] E:\WINDOWS\System32\france.exe -N
O4 - HKLM\..\RunServices: [NAV Auto Updates] slserves.exe
O4 - HKCU\..\Run: [NAV Auto Updates] slserves.exe


valider avec [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

� Rechercher et supprimer:
Dans le cas ou tu utiliserais la fonction Rechercher:
Assure toi que dans:
Tous les fichiers et tous les dossiers >> Options avancées
• Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
• Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
• Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !

Supprime, si présent:

E:\WINDOWS\System32\slserves.exe
E:\WINDOWS\System32\france.exe
E:\Documents and Settings\sophie\bureau\Click Me.lnk
E:\Documents and Settings\sophie\menu demarrer\Click Me.lnk
E:\Documents and Settings\sophie\menu demarrer\Uninstall Click Me.lnk


-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, tres important:

:: Supprimer les fichiers temporaires ::

* E:\Documents and Settings\sophie\Local Settings\Temp
* E:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* E:\Temp
* E:\Windows\Temp
vider tout le contenu des dossiers en gras.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

lance lqfix en double cliquant sur lqfix.bat

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Redemarre normalement et reposte un log hijack pour vérifier l'évolution

Ne pas oublier après les manips de recocher" masquer les fichiers protégés du système" dans les options des dossiers

a+

Re,
t es sous xp t arrive pas a trouver ta restauration systeme?

Ne crie pas victoire trop vite il en reste :

O4 - HKLM\..\Run: [NAV Auto Updates] slserves.exe
O4 - HKLM\..\RunServices: [NAV Auto Updates] slserves.exe
O4 - HKCU\..\Run: [NAV Auto Updates] slserves.exe

et supprimer E:\WINDOWS\System32\slserves.exe
rien a voir avec norton, t'inquiete c'est un ver

pour la restau tu as xp family ou pro ?

a+

Ok j'ai tout enlevé ; tout à l'air de fonctioner correctement ; merci bp à tous pour votre aide

Reposte un hijack pour en etre sure

pour ton probleme de restauration systeme tu as xp family ou pro ?

Impossible de supprimer definitivement elite en suivant la procédure et en utilisant hijack, voila mon log, merci de m'aider svp . Je ne sais pas quoi fixer

Logfile of HijackThis v1.99.1
Scan saved at 21:44:13, on 19/05/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
E:\appz\Litestep\litestep.exe
C:\WINNT\htpatch.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\CTHELPER.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\looknstop\_looknstop.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Directory Opus\dopus.exe
C:\Program Files\hijack\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [checkrun] c:\winnt\system32\elitecxt32.exe
O4 - HKLM\..\Run: [HELPER] C:\WINNT\system32\france.exe -N
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [Web Offer] C:\WINNT\system32\sp2protect.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{E948BEA0-6D85-471D-B94F-4197FA306DC7}: NameServer = 80.118.192.100 80.118.196.36
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe