wallpaper changé, virus introuvable....Fermé

Question

Bonjour,

je fais appel à vous car j'ai chopé un sale truc sur le net ...

norton antivirus m'a trouvé un virus dans C:\WINDOWS\SYSTEM32\WININET.DLL il m'indique BLOODHOUND.W32.EP

je crois savoir que c'est un virus qu'il ne connais pas c'est ca ? Le pb est que je n'ai pas une version de Norton mise à jour et je n'ai pas envie de payer pour ca ....
j'ai bien téléchargé la version shareware de panda mais pas moyen de scanner mon disque avec .... enfin bref ...

Alors déjà, ActiveDesktop a été activé avec une page internet (wmpp.html dans le dossier system32) qui me dit que mon pc a été infesté de spyware et de virus .... et cette page pas moyen de la virer. Elle est recrée tout de suite. Dans le Panneau de config\affichage, je ne peux plus gerer que la carte graphique et l'ecran de veille. Je n'ai plus l'onglet "BUREAU" ... et spysweeper m'annoncent plein de pgm qui veulent se lancer au demarrage .... je les refuse à chaque fois mais ils reviennent...
si quelqu'un a une idée de ce que ca peut etre .... merci de m'aider car là je sais pas quoi faire ...

Utilisateur anonyme · Answer

salutsi tu as windows xp telecharge ceci:smitfraudfixhttp://siri.urz.free.fr/Fix/SmitfraudFix.zipdezippe le et lance le.choisis l'option 1 (rechercher)fais un copier/coller du résultat icia+

tiogus · Answer

Merci !

voici ce que ca donne :

SmitFraudFix v1.7

Rapport fait à 22:04:13,06 le 19/08/2005
Executé à partir de C:\Documents and Settings\Guillaume\Mes documents\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\uninstIU.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\oleext.dll PRESENT !
C:\WINDOWS\system32\wppp.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Guillaume\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\Program Files\PSGuard\ PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

A noter que j'ai deja supprimer PSGuard avec le panneau de configuration.

Que faire maintenant ? merci d'avance.

tiogus · Answer

j'ai nettoyé avec l'option 2 en mode sans echec. Il m'a nettoyé le fichier WININET.DLL et viré tout ce qu'il fallait. Le rapport est nickel maintenant.

Par contre spyweeper me trouve encore des cochonneries dans le dossier system32, qui tentent de se placer au démarage.

En tout cas j'ai récupéré mon fond d'ecran. Et le virus est parti. Vous savez s'il y a d'autres dommages provoqués par smitfraud ? c'est un nouveau virus ?

merci à vous !!

Utilisateur anonyme · Answer

ok

maintenant telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijack
et surtout pas dans un dossier temporaire (temp)
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
Si tu as du mal, regarde ceci:
http://pageperso.aol.fr/balltrap34/demohijack.htm

tiogus · Answer

OK, voilà ce que ca donne :Logfile of HijackThis v1.99.1Scan saved at 22:48:09, on 19/08/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\SYSTEM32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\PROGRA~1\NORTON~1
avapw32.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeC:\WINDOWS\System32\TASKMAN.EXEC:\WINDOWS\System32\mssw32.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\System32
avprotect.exeC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\WINDOWS\System32\mssw32.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Tiny Personal Firewall\persfw.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\system32\crve32.exeC:\WINDOWS\msah.exeC:\WINDOWS\System32\wuauclt.exeC:\WINDOWS\explorer.exeC:\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWSvlox.dll/sp.html#87649R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWSvlox.dll/sp.html#87649R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWSvlox.dll/sp.html#87649R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWSvlox.dll/sp.html#87649R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWSvlox.dll/sp.html#87649R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWSvlox.dll/sp.html#87649R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWSvlox.dll/sp.html#87649R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: Class - {A318BFD4-C3A4-E970-DD27-26C4F5F2AD25} - C:\WINDOWS\system32\apiet32.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1
avapw32.exeO4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUNO4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /sO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exeO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [Microsoft Update Machine] TASKMAN.EXEO4 - HKLM\..\Run: [Microsoft Windows W32 Services] mssw32.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [NAV Auto Protect] navprotect.exeO4 - HKLM\..\Run: [crve32.exe] C:\WINDOWS\system32\crve32.exeO4 - HKLM\..\RunServices: [Microsoft Update Machine] TASKMAN.EXEO4 - HKLM\..\RunServices: [Microsoft Windows W32 Services] mssw32.exeO4 - HKLM\..\RunServices: [lsass2k Update] lsass2k.exeO4 - HKLM\..\RunServices: [NAV Auto Protect] navprotect.exeO4 - HKLM\..\RunServices: [ Microsoft Client/Server Runtime Server Subsystem] csrs.exeO4 - HKLM\..\RunOnce: [msah.exe] C:\WINDOWS\msah.exeO4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0O4 - HKCU\..\Run: [Microsoft Update Machine] TASKMAN.EXEO4 - HKCU\..\Run: [Microsoft Windows W32 Services] mssw32.exeO4 - HKCU\..\Run: [NAV Auto Protect] navprotect.exeO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra button: HttpWatch Explorer Bar - {D103E85B-5D67-42c1-8C83-F01079DBAB26} - C:\Program Files\HttpWatch\httpwtch.dllO9 - Extra 'Tools' menuitem: HttpWatch Explorer Bar - {D103E85B-5D67-42c1-8C83-F01079DBAB26} - C:\Program Files\HttpWatch\httpwtch.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO14 - IERESET.INF: START_PAGE_URL=http://freebox.free.fr/O15 - Trusted Zone: http://www.secuser.comO15 - Trusted Zone: http://*.secuser.comO15 - Trusted Zone: http://*.windowsupdate.comO16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cabO16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cabO16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst4_x.cabO16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cabO16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cabO16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c46.cabO16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c420.cabO16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.75tz.com/codac/inst2_ax.cabO16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CABO16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cabO16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cabO16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cabO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/23bce9e223b98baa6b21/netzip/RdxIE601_fr.cabO16 - DPF: {5CE7A7AF-8C5E-48CF-AE30-8FC6F01C27E3} (Yahoo! Photos - Outil de publication Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_5fr.cabO16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/fr/win/QuickTimeInstaller.exeO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104949528404O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocxO16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/NueThallia.exeO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cabO16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cabO16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cabO16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cabO20 - Winlogon Notify: MCPClient - C:\PROGRA~1\FICHIE~1\Stardock\mcpstub.dll (file missing)O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ielo.exe (file missing)O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe (file missing)O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Program Files\Tiny Personal Firewall\persfw.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe----------------------------------------------------------------------------perso j'y comprend rien .... :)

Utilisateur anonyme · Answer

je te met la manip d'ici quelques minuteston pc est pas mal infectéa+

tiogus · Answer

Aïe ... ok je bouge pas. merci !

Utilisateur anonyme · Answer

salut

Imprime, ou fais un copier coller dans le bloc note pour ne rien oublier car il faudra imperativement faire les manips hors connection internet et en mode sans echec.

Télécharge ces logiciels et met les à jours (tres important):

aboutbuster:
http://www.malwarebytes.biz/index.php?page=downloads
Pour le mettre à jours:
clic sur "update"
puis clic sur "check for update"
Si une nouvelle version est disponible clic sur "downloaded update"

CWShredder:
http://cwshredder.net/bin/CWShredder.exe

cwsserviceremove
http://lineofire.geekstogo.com/cwsserviceremove.zip
dezippe le sur ton bureau

Ne les utilise pas pour le moment.

_________________________________

Déconnecte toi d'internet et ne te reconnecte pas tant que la manip n'est pas entierement finie.

Ferme tout les programmes en cours
 Vide le cache de tous les navigateurs et supprime les cookies:

Pour Internet Explorer:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok

Pour Firefox:
menu 'Outils' > Options
icône 'Vie privée'
rubrique Cache, appuyer sur le bouton "Vider le cache"
rubrique Cookies appuyer sur le bouton "Effacer"
valide ok

Pour Mozilla
Edition > Préférences > Avancé > Cache
clic sur "Vider le cache"
et pour les cookies:
Outils > Gestionnaire de cookies > Gérer les cookies stockés
clic sur "Supprimer les cookies"
valider ok
__________________________________

Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
(accepte le redemarrage).

Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8.
Choisis le mode sans échec dans les options et valide avec entrée.

Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
Valide

___________________________________

Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
Remote Procedure Call (RPC) Helper
Double clic dessus et clic sur [arreter] puis dans :
type de demarrage --> sélectionne désactivé.

/!\ Il se peut, après avoir redémarrer en mode sans echec, que le nom du fichier des lignes R1 ait changé de nom, dans ce cas note son nouveau nom pour pouvoir le supprimer apres avoir fait les fix avec hijack.

Lance hijackthis et Fixe:
cocher les cases au début des lignes suivantes

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rvlox.dll/sp.html#87649
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rvlox.dll/sp.html#87649
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rvlox.dll/sp.html#87649
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rvlox.dll/sp.html#87649
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rvlox.dll/sp.html#87649
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rvlox.dll/sp.html#87649
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rvlox.dll/sp.html#87649

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {A318BFD4-C3A4-E970-DD27-26C4F5F2AD25} - C:\WINDOWS\system32\apiet32.dll
O4 - HKLM\..\Run: [Microsoft Update Machine] TASKMAN.EXE
O4 - HKLM\..\Run: [Microsoft Windows W32 Services] mssw32.exe
O4 - HKLM\..\Run: [NAV Auto Protect] navprotect.exe
O4 - HKLM\..\Run: [crve32.exe] C:\WINDOWS\system32\crve32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] TASKMAN.EXE
O4 - HKLM\..\RunServices: [Microsoft Windows W32 Services] mssw32.exe
O4 - HKLM\..\RunServices: [lsass2k Update] lsass2k.exe
O4 - HKLM\..\RunServices: [NAV Auto Protect] navprotect.exe
O4 - HKLM\..\RunServices: [ Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKLM\..\RunOnce: [msah.exe] C:\WINDOWS\msah.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] TASKMAN.EXE
O4 - HKCU\..\Run: [Microsoft Windows W32 Services] mssw32.exe
O4 - HKCU\..\Run: [NAV Auto Protect] navprotect.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c46.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c420.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.75tz.com/codac/inst2_ax.cab
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/23bce9e223b98baa6b21/netzip/RdxIE601_fr.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/NueThallia.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\FICHIE~1\Stardock\mcpstub.dll (file missing)

valider avec [fix checked]

____________________________________

ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I]

Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer

ensuite double clic sur fix.reg et accepte de fusionner

____________________________________________

 Rechercher et supprimer si présent:

Supprimer les fichiers en suivant le chemin des fichiers infectés, plutot que d'utiliser la fonction "Rechercher"

/!\ Attention à l'orthographe et l'endroit ou se trouvent les fichiers, car il est possible que certains fichiers portent pratiquement le meme nom que des fichiers sains, voire exactement le meme, mais dans des dossiers différents.

Supprime:

C:\WINDOWS\System32\TASKMAN.EXE
C:\WINDOWS\System32\mssw32.exe
C:\WINDOWS\system32\crve32.exe
C:\WINDOWS\System32\navprotect.exe
C:\WINDOWS\System32\ lsass2k.exe
C:\WINDOWS\system32\ielo.exe
C:\WINDOWS\System32\csrs.exe <- attention ne supprime pas csrss.exe qui lui est ok
C:\WINDOWS\rvlox.dll
C:\WINDOWS\msah.exe

_______________________________________

Ensuite, tres important

Supprimer les fichiers temporaires:

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
vider tout le contenu des dossiers en gras.

Le contenu du dossier prefetch:

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !

_____________________________________

puis lance cwshredder (clic sur fix)

_____________________________________

Une fois fait, lance Aboutbuster autant de fois qu'il le faut, jusqu'a ce qu'il ne trouve plus rien
_____________________________________

lance cwsserviceremove.reg et accepte de fusionner

Passe ton ou tes antispywares
_____________________________________

Redemarre normalement et reposte un hijack pour vérifier l'évolution.

Ne pas oublier après les manips de recocher" masquer les fichiers protégés du système" dans les options des dossiers

a+

tiogus · Answer

ok j'ai tout recuperé dans bloc note

je vais commencer à regarder ca ce soir, sinon demain matin.

je te remercie pour ta patience et ton aide. les gens comme toi sont rares, merci !!!

je te dit quoi demain dans la journée.

Utilisateur anonyme · Answer

ok

il faut la faire en une seule fois et hors connec, sinon il faut tout recommencer depuis le debut.
personnellement j'eviterais le net avec ce type d'infection, pour eviter qu'elle ne rajoute d'autres salo***ies.

a+

tiogus · Answer

Salut et desolé de répondre que maintenant, j'ai pas eu bcp le temps de le faire avant.

j'ai tout nettoyé comme tu as dit et c'est bon, ca marche impec'. Il est même plus rapide qu'avant.

merci bcp !!!

Utilisateur anonyme · Answer

salutcontent pour toi, n'oublie pas reactiver la restau systeme et de recacher les fichiers systemea+

Tchicho · Answer

Bonjour,

Je me permets de faire remonter ce topic car il me semble que j'ai choppé exactement la même chose...

Comme vous le décrivez, mon fond d'écran a disparu laissant place à une image reproduisant une fenêtre d'alerte antivirus. Celle ci m'avertit de l'infection de spywares et malwares. Je ne peux pas rétablir mon ancien fond d'écran car l'onglet a disparu.

Mais, là où mon problême diffère du précédent c'est qu'ayant un peu paniqué j'ai coupé mon ordinateur brusquement en pensant que ainsi les données disparaitraient car non sauvegardées (je sais c'est très bête...). Et, depuis, Windows ne cesse de redémarrer.

Lorsque je rallume le PC, tout se passe normalement. J'arrive sur la page pour me rendre sur mon compte, je clique. Chargement d'antivirus et de tous les logiciels au démarrage. Cependant chose étrange : 3 fenêtres "windows" noires apparraissent et disparaissent subitement. Et, juste après, une page bleue s'affiche trop rapidement pour que je puisse lire quelquechose à part que Windows à un problême. C'est là que mon ordi redémarre. A noter qu'il y a toujours le même fond d'écran au démarrage que précédemment.

J'ai essayé de démarrer en mode sans échec, mais là encore ça ne marche pas...

Je ne sais plus quoi faire... Merci à ceux (et aux autres) qui pourront m'apporter leur soutien et leur aide.

Mali · Answer

J'en ai eu un similaire, mais je me suis aperçu assez vite qu'en fait Windows ne redémarre pas, c'est un écran de veille qui se met en branle et te fait croire que Windows redémarre, si tu appuies sur une touche de ton clavier (Esc par exemple), l'écran de veille s'arrête. Tu as toujours ton fond d'écran avec la fausse alerte mais c'est neutre. J'avais ce truc depuis un moment mais vu que j'utilisais beaucoup mon PC, il n'avait pas le temps de se mettre en écran de veille. Bon bref, en exécutant MalwareBytes (j'ai plus le lien désolé), il a trouvé la saleté et un coup de Destop plus tard, ça a marché. Dernier conseil, ne te laisse pas berner pendant que l'antivirus tourne, l'écran de veille risque de se remettre en route, mais garde à l'esprit que c'est anodin...

Wallpaper changé, virus introuvable....

14 réponses

Discussions similaires

Newsletters