Analyse log Hijack ThisRésolu/Fermé

Question

BonjourOn m'a donné pour bosser un pc infecté de virus et toute autre sale bête du même genre.J'ai nettoyé à grand coups de Spybot, Ad Aware et Clean UP, mais j'ai toujours des problèmes. Je n'arrive pas à lancer une analyse antivirus (Norton Corporate Edition)Pourriez vous analyser ce log d'Hijack this s'il vous plaît !Merci :)Logfile of HijackThis v1.99.1Scan saved at 12:27:53, on 22/12/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\qirgdf.exeC:\WINDOWS\Explorer.exeC:\Documents and Settings\Thierry\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exeO1 - Hosts: 64.91.255.87 www.dcsresearch.comO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocxO2 - BHO: Scriptlet.Tools - {3E4563A4-2A9B-4912-BE38-906A0CB702CC} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools	ools.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: ohb - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\system32
sf4E.dllO2 - BHO: Scriptlet.Tools - {EEBA788A-C268-492A-B7FE-42C2B6C553D4} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bin\bin.dllO4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [wtqlxiv] c:\windows\system32\czjpqlc.exeO4 - HKLM\..\Run: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exeO4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"O4 - HKLM\..\Run: [byjkoa] C:\WINDOWS\system32\qirgdf.exe rO4 - HKLM\..\RunServices: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exeO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\Run: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cabO16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cabO16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} (iiittt Class) - http://www.hotsearchbar.com/toolbar30/hsrb.cabO16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spamextract.com/sx/SpEx2.102995pur_opt/SpamExtractWebInstall.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{153DC66F-34E7-4579-80A2-BDD2E0451AA8}: NameServer = 194.2.0.20,194.2.0.50O17 - HKLM\System\CCS\Services\Tcpip\..\{D8AB9015-AA3A-4545-8BB9-95B9E84F7918}: NameServer = 194.2.0.20,194.2.0.50O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dllO23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exeO23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: System Startup Service  (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

_Agnes · Answer

up :)&#9834;&#9835; Petit Papa Noël...&#9835;&#9834;

incognito02 · Answer

Bonjour Agnès...

Tous les cadors sont au sport d'hiver, mais je vais essayé de t'aider un chti pneu !

Lance HijackThis:

clique sur "do a system scan only"

* Cocher la case au début de ces lignes:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O1 - Hosts: 64.91.255.87 www.dcsresearch.com
* Valider avec fix checked

O4 - HKLM\..\Run: [wtqlxiv] c:\windows\system32\czjpqlc.exe

O4 - HKLM\..\Run: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe

O4 - HKLM\..\Run: [byjkoa] C:\WINDOWS\system32\qirgdf.exe r

O4 - HKLM\..\RunServices: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe

O4 - HKCU\..\Run: [\1.exe] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l allumage du pc sans t arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
(Si F8 ne marche pas utilise la touche F5)

Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as télécharger avant)
http://pageperso.aol.fr/balltrap34/CleanUp40.exe

Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !

ensuite,Recherche et supprime ceci:
attention seulement les fichiers (si présents).

c:\windows\system32\czjpqlc.exe
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Tools\1.exe
C:\WINDOWS\system32\qirgdf.exe

Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
----------------------------------------------------------------------------
¤ Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
----------------------------------------------------------------------------
¤ Vide ta Corbeille.
----------------------------------------------------------------------------
¤ Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Bon courage.

A+

_Agnes · Answer

Salut :)Merci pour ta réponse. Juste une question, quand tu me dis de lancer Hjackthis et de faire les corrections, faut le faire en mode sans échec ou pas ?

incognito02 · Answer

Agnès,Pour la première partie en mode normal.Relis bien ma première réponse.Bon courage.  :-))A bientôt.Nobody is perfect, mais j'essaye .....

_Agnes · Answer

Re salut :)J'ai bien fait tout ce que tu m'as ditVoilà le log HijackThis qui en ressort : Logfile of HijackThis v1.99.1Scan saved at 15:09:48, on 22/12/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exeC:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\Explorer.exeC:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exeC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXEC:\WINDOWS\system32\wscntfy.exeC:\Program Files\Java\jre1.5.0\bin\jusched.exeC:\WINDOWS\system32\glcfzjt.exeC:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exeC:\Documents and Settings\Thierry\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {3E4563A4-2A9B-4912-BE38-906A0CB702CC} - (no file)O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: ohb - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\system32
sf4E.dllO2 - BHO: Scriptlet.Tools - {EEBA788A-C268-492A-B7FE-42C2B6C553D4} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bin\bin.dllO4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exeO4 - HKLM\..\Run: [akyhmqo] C:\WINDOWS\system32\glcfzjt.exe rO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cabO16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cabO16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - http://www.hotsearchbar.com/toolbar30/hsrb.cabO16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spamextract.com/sx/SpEx2.102995pur_opt/SpamExtractWebInstall.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{153DC66F-34E7-4579-80A2-BDD2E0451AA8}: NameServer = 194.2.0.20,194.2.0.50O17 - HKLM\System\CCS\Services\Tcpip\..\{D8AB9015-AA3A-4545-8BB9-95B9E84F7918}: NameServer = 194.2.0.20,194.2.0.50O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dllO23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exeO23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeMerci :)

incognito02 · Answer

Y'a une bestiole qui s'accroche ! et ce n'est pas un morpion !
Oups excuses moi, je déraille par moment.

On va essayer ça pour le destroyer :
salut

Télécharge lopxp ici:

http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)

2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici

A+

_Agnes · Answer

:)
Je commence à craquer aussi !!!
Y'a une fenêtre "Best Offers" qui s'affiche tout le temps ca me gonfle :)

Voilà le rapport :)
Et encore merci pour ton aide !
Rapport fait à 16:16:30,93 le 22/12/2005

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4029-13DD

R‚pertoire de C:\Documents and Settings\Default User\Application Data

08/03/2004 13:31 62 desktop.ini
08/03/2004 13:30 <REP> Microsoft
08/03/2004 13:30 <REP> ..
08/03/2004 13:30 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 54977003520 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4029-13DD

R‚pertoire de C:\Documents and Settings\All Users\Application Data

22/12/2005 10:34 <REP> Spybot - Search & Destroy
24/11/2005 12:17 <REP> UDL
27/09/2005 09:49 <REP> Bin
05/09/2005 10:25 <REP> Tools
08/04/2005 13:47 <REP> Skype
12/07/2004 11:08 <REP> QuickTime
08/03/2004 13:57 <REP> Symantec
08/03/2004 13:31 62 desktop.ini
08/03/2004 13:30 <REP> Microsoft
08/03/2004 13:30 <REP> .
08/03/2004 13:30 <REP> ..
1 fichier(s) 62 octets
10 R‚p(s) 54977003520 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4029-13DD

R‚pertoire de C:\Documents and Settings\Thierry\Application Data

22/12/2005 12:53 <REP> Sun
22/12/2005 10:33 <REP> Mozilla
09/12/2005 18:12 <REP> Nokia
09/12/2005 18:12 <REP> Datalayer
15/09/2005 14:32 <REP> Lavasoft
18/05/2005 16:51 <REP> Yahoo!
08/04/2005 13:47 <REP> Skype
08/04/2005 13:10 <REP> SpamExtract
28/07/2004 11:47 <REP> InterTrust
15/06/2004 14:34 <REP> Help
15/04/2004 12:28 <REP> K9
08/03/2004 15:09 <REP> Adobe
08/03/2004 14:58 <REP> Macromedia
08/03/2004 14:18 26492 Valeurs s‚par‚es par des virgules (Windows).ADR
08/03/2004 14:05 <REP> Microsoft Web Folders
08/03/2004 13:45 <REP> Identities
08/03/2004 13:45 62 desktop.ini
08/03/2004 13:45 <REP> Microsoft
08/03/2004 13:45 <REP> .
08/03/2004 13:45 <REP> ..
2 fichier(s) 26554 octets
18 R‚p(s) 54977003520 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 4029-13DD

R‚pertoire de C:\WINDOWS\Tasks

22/12/2005 11:15 332 Spybot - Search & Destroy - Scheduled Task.job
08/03/2004 13:39 6 SA.DAT
08/03/2004 13:37 65 desktop.ini
01/01/1980 00:00 <REP> ..
01/01/1980 00:00 <REP> .
3 fichier(s) 403 octets
2 R‚p(s) 54ÿ977ÿ003ÿ520 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************

incognito02 · Answer

Arghhh Sa..... de nail.exe !!

Crées un fichier avec le bloc note et colle ce texte dedans :

ECHO OFF
cd\windows
Nail.exe /FULLREMOVE
sc config SvcProc start= disabled
sc stop SvcProc
sc delete SvcProc
attrib -s -r -h nail.exe
attrib -s -r -h svcproc.exe
del nail.exe
del svcproc.exe
exit

Enregistre le fichier sur ton bureau sous le nom remove.bat en séllectionnant "all" dans type de fichier
----

Redémarre en mode sans échec (session administrateur si possible), (en tapotant F8 au démarrage).
---

Double-clic sur remove.bat. Une fenêtre devrait s'ouvrir et se fermer très rapidement --- c'est normale.
---

Redemarre en mode normal, et relance hijackthis et post le log ici stp.

A+

Utilisateur anonyme · Answer

Si no result, j essaierais lol

incognito02 · Answer

Ah oui oui oui !

le Big Chef à l'oeuvre, je veux voir ça ! miam miam !!!!

Planquez vous ça va barder !!!!

Agnès une moderatrice - contributrice avec un profil aussi pauvre, tu n'as pas honte ! lol

A+++

_Agnes · Answer

C'est encore moi :)Bon ben à priori, ce pu**** de Nail.exe est toujours là :(Je vais pleurer :(Logfile of HijackThis v1.99.1Scan saved at 16:51:03, on 22/12/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exeC:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\alg.exeC:\WINDOWS\system32\userinit.exeC:\WINDOWS\Explorer.exeC:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exeC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXEC:\Program Files\Java\jre1.5.0\bin\jusched.exeC:\WINDOWS\system32\wscntfy.exeC:\WINDOWS\system32\gyapjer.exeC:\Program Files\a-squared\a2guard.exeC:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exeC:\Documents and Settings\Thierry\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: ohb - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\system32
sf4E.dllO2 - BHO: Scriptlet.Tools - {EEBA788A-C268-492A-B7FE-42C2B6C553D4} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bin\bin.dllO4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exeO4 - HKLM\..\Run: [tynsmr] C:\WINDOWS\system32\gyapjer.exe rO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cabO16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cabO16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - http://www.hotsearchbar.com/toolbar30/hsrb.cabO16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spamextract.com/sx/SpEx2.102995pur_opt/SpamExtractWebInstall.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{153DC66F-34E7-4579-80A2-BDD2E0451AA8}: NameServer = 194.2.0.20,194.2.0.50O17 - HKLM\System\CCS\Services\Tcpip\..\{D8AB9015-AA3A-4545-8BB9-95B9E84F7918}: NameServer = 194.2.0.20,194.2.0.50O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dllO23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exeO23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeMerci pour votre aide Messieurs !

Utilisateur anonyme · Answer

Bon, atends moi Agnes

Utilisateur anonyme · Answer

re,---------------------------------------------------------------------------- ¤Affiche tous les fichiers et dossiers : Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage Coche « afficher les fichiers et dossiers cachés » Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décoche « masquer les extensions dont le type est connu » Puis fais «Ok» pour valider les changements. Et appliquer !---------------------------------------------------------------------------- deja commence par supprimer ce spyware:Fixe ceci:O2 - BHO: ohb - {98640C3B-0699-4D51-ADB4-A6FC48ACB966} - C:\WINDOWS\system32
sf4E.dll O2 - BHO: Scriptlet.Tools - {EEBA788A-C268-492A-B7FE-42C2B6C553D4} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bin\bin.dll ----------------------------------------------------------------------------¤Recherche et supprime ceci: attention seulement les fichiers  (si présents).C:\document and setting\ALLUSER\APPLICATION AND DATA\BinC:\document and setting\ALLUSER\APPLICATION AND DATA\ToolsC:\ProgramFiles\LycosAlors pour la suite, imprime ce poste car la manip est longue et il faut beaucoup de rigueur. IMPORTANT: ne pas laisser redémarrer l'ordi en mode normal entre chaque manip. (Au risque de repartir à zéro). 2) télécharge ceci 1/LM2FIXhttp://www.downloads.subratam.org/l2mfix.exe 2/clean up http://pageperso.aol.fr/Balltrap34/CleanUp40.exe -aide en image:(merci à Balltrap34). http://pageperso.aol.fr/balltrap34/democleanup.htmTélécharge: Pocket Killbox ici http://www.downloads.subratam.org/KillBox.exe regarde la vidéo sur l’utilisation avec le block note, on va s’en servir plus tard: http://pageperso.aol.fr/balltrap34/killbox.htm mais ne fais rien de plus. &#9658; assure toi de ceci Affiche tous les fichiers et dossiers : cliquer sur démarrer/panneau de configuration/option des dossiers/affichage Cocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décocher masquer les extensions dont le type est connu Puis fais «Ok» pour valider les changements. Et appliquer &#9658; vide tes fichiers temps et tempory internet file sur tous les utilisateur utilise ceci pour le faire &#9834;http://pageperso.aol.fr/Balltrap34/CleanUp40.exe 4) Lance L2mfix décompresse le double click sur l2mfix.bat appuie sur n importe quelle touche et ensuite choisi l option 2 à la fin le programme devrait redémarrer ton système, des le lancement du bios, tapote sur la touche F8 afin de basculer en mode sans échec (attention c’est Tres important) 5) Killbox 1- Double-clic sur KillBox.exe 2- ouvre le bloc notes et copie la liste en gras ci-dessous 3- Sélectionne "Delete on Reboot" 4- reviens sur le bloc-notes et surligne toute la liste, puis clic droit dessus et clic sur copier 5- revient sur killbox, et dans le menu du haut clic sur File, puis sur paste from clipboard 5- clic sur le rond rouge 6- une fenêtre va apparaître pour confirmation clic sur OUI 7- une seconde fenêtre te demande si tu veux redémarrer clic sur OUI liste C:\WINDOWS\Nail.exe C:\WINDOWS\system32\gyapjer.exe r quand killbox redémarre le pc, appuie immédiatement sur F8, pour passer en mode sans échec (tu ne dois pas revenir en mode normal des que tu as fait lm2fix pour la premiere fois, toujours etre en mode sans echec)6) lance Hijackthis et fixe : F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [tynsmr] C:\WINDOWS\system32\gyapjer.exe r  8) repasse l2mfix option 2, laisse redémarrer normalement et refait un log Hijack bon travail et à toute...

_Agnes · Answer

Re !Voilà le résultat : Logfile of HijackThis v1.99.1Scan saved at 17:27:57, on 22/12/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exeC:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\alg.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\wscntfy.exeC:\WINDOWS\system32
otepad.exeC:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exeC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXEC:\Program Files\Java\jre1.5.0\bin\jusched.exeC:\Program Files\a-squared\a2guard.exeC:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exeC:\Documents and Settings\Thierry\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exeO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\Run: [a-squared] "C:\Program Files\a-squared\a2guard.exe"O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cabO16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cabO16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - http://www.hotsearchbar.com/toolbar30/hsrb.cabO16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spamextract.com/sx/SpEx2.102995pur_opt/SpamExtractWebInstall.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{153DC66F-34E7-4579-80A2-BDD2E0451AA8}: NameServer = 194.2.0.20,194.2.0.50O17 - HKLM\System\CCS\Services\Tcpip\..\{D8AB9015-AA3A-4545-8BB9-95B9E84F7918}: NameServer = 194.2.0.20,194.2.0.50O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dllO23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exeO23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeOn dirait que ça va mieux !Merci beaucoup :)

Utilisateur anonyme · Answer

Quel est  l antivirus?

incognito02 · Answer

Régis Clap clap clap !Quel talent !!!!!!Je conserve précieusement cette manip digne de Machiavel !je te laisse avec la demoiselle.A++

Utilisateur anonyme · Answer

salut incognitomanip de Jean !Par contre il n y a pas d antivirus, la securité laisse a desirera+

incognito02 · Answer

Super, on va bientot avoir encore plein de sales bestioles à destroyer ! lolJe t'ai mis un message sur hardware.Balaise Mister Jean, dommage qu'il ne passe plus aussi souvent. sniff*A++

Utilisateur anonyme · Answer

salutmerci moe, wahou, j avais zappé lolMais norton ne se met pas au demarrage, tu l as enleve?

Utilisateur anonyme · Answer

Salut Agnesah super !!!Tu as d autres soucis?Besoin de quelque chose?a+

Utilisateur anonyme · Answer

De rien AgnesMerci a moe et incognito aussi ;-)Joyeuses fetes a toi et repasses quand tu as besoin a+

_Agnes · Answer

Merci a moe et incognito aussi ;-) Oui aussi ! :-)

Utilisateur anonyme · Answer

lolau plaisir !

Analyse log Hijack This

23 réponses

Discussions similaires

Newsletters