[Nettoyage] J'y arrive pas...Résolu/Fermé

Question

Bonjour,je suis impressionnée par la compétence des gens qui répondent ici ! J'ai trouvé plusieurs discussions sur les 2 problèmes que je rencontre mais les réponses sont très diverses et pour l'instant je n'ai pas réussi à nettoyer complètement mon ordi. J'aimerais donc vous décrire où j'en suis, si vous pouvez m'aider à partir de là :Lorsque je clique sur les liens Google, je suis dirigée sur des sites qui n'ont rien à voir, sauf si je vide mes fichiers temporaires Internet au préalable.J'ai Avast, j'ai fait tourner AdAware et Spybot, et quand je fais tourner Ewido, il me trouve 12 "downloader.agent.uj" mais n'arrive pas à les traiter.J'ai lu qu'il fallait utiliser BlackLight et celui-ci trouve 5 items mais ne les supprime pas (peut-être n'ai-je pas la bonne version car lorsque je vais sur le site de F-Secure on ne peut télécharger qu'une version Beta ?)Je n'ai pour l'instant pas pu faire tourner Ewido en mode sans échec car mon ordi s'y bloque (sablier).J'ai aussi lu pour le problème Google qu'il fallait faire tourner HijackThis et fixer une ligne (une des O2) mais cette ligne n'existe pas dans mon rapport.Bref à l'aide ! Je crois qu'il est d'usage de donner le rapport de HiJackThis donc je vous le copie, en vous remerciant d'avance pour votre attention.Lyl.Logfile of HijackThis v1.99.1Scan saved at 07:45:31, on 01/09/2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\Program Files\ewido anti-spyware 4.0\guard.exeC:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\wdfmgr.exec:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\System32\alg.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Java\jre1.5.0\bin\jusched.exeC:\windows\system\hpsysdrv.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\HP\HP Software Update\HPwuSchd2.exeC:\HP\KBD\KBD.EXEC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\Program Files\ewido anti-spyware 4.0\ewido.exeC:\Program Files\Spamihilator\spamihilator.exeC:\Documents and Settings\Compaq_Propriétaire\Mes documents\Logiciels\Sécu&Perf\HijackThis.exeC:\Program Files\Internet Explorer\iexplore.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=sslR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: (no name) - {1809C0A7-2CF6-67E2-B314-CBA5DCB48161} - bingo9.dll (file missing)O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exeO4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXEO4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exeO4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exeO4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXEO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimizedO4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.htmlO8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dllO9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htmO9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htmO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO17 - HKLM\System\CCS\Services\Tcpip\..\{1790F23B-D8CE-4537-8D02-7F30A84AC72B}: NameServer = 85.255.116.151,85.255.112.20O17 - HKLM\System\CCS\Services\Tcpip\..\{A094D58B-5342-4E1E-B736-DF946892909F}: NameServer = 85.255.116.151,85.255.112.20O17 - HKLM\System\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: NameServer = 85.255.116.151,85.255.112.20O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.151 85.255.112.20O17 - HKLM\System\CS1\Services\Tcpip\..\{1790F23B-D8CE-4537-8D02-7F30A84AC72B}: NameServer = 85.255.116.151,85.255.112.20O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.151 85.255.112.20O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exeO23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Séb08 · Answer

slt,Télécharge Blacklight (de F-Secure) a l’une des 2 adresses :https://www.f-secure.com/enhttps://www.f-secure.com/enet sauvegarde le sur ton Bureau.Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis NextTu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).Copie et colle le contenu de ce rapport STP.A+

Lylandra · Answer

OK , c'est bien la version que j'ai téléchargée(par contre le 2nd lien ne fonctionne plus).Je poste le résultat ce soir quand je rentre chez moi.Bonne journée d'ici là,Lyl.

Lylandra · Answer

Re-il n'y avait pas de "scan through Windows Explorer" mais voilà le rapport quand même.Tiens aujourd'hui il ne trouve plus que 4 items !09/01/06 18:15:42 [Info]: BlackLight Engine 1.0.46 initialized09/01/06 18:15:42 [Info]: OS: 5.1 build 2600 (Service Pack 2)09/01/06 18:15:42 [Note]: 7019 409/01/06 18:15:42 [Note]: 7005 009/01/06 18:15:51 [Note]: 7006 009/01/06 18:15:51 [Note]: 7011 244409/01/06 18:15:51 [Note]: 7026 009/01/06 18:15:52 [Note]: 7026 009/01/06 18:15:55 [Note]: FSRAW library version 1.7.101909/01/06 18:16:32 [Info]: Hidden file: c:\WINDOWS\system32\csldt.exe09/01/06 18:16:32 [Note]: 7002 3209/01/06 18:16:32 [Note]: 7003 109/01/06 18:16:32 [Note]: 10002 109/01/06 18:16:34 [Info]: Hidden file: c:\WINDOWS\system32\{37DA4552-A691-4FA4-B38D-78AB6E2981B0}.exe09/01/06 18:16:34 [Note]: 10002 109/01/06 18:16:34 [Info]: Hidden file: c:\WINDOWS\system32\{90174B7A-85A8-412C-B03C-14F5A0230492}.exe09/01/06 18:16:34 [Note]: 10002 109/01/06 18:16:35 [Info]: Hidden file: c:\WINDOWS\system32\{B430814E-0A5E-4F01-9C23-C50F3487A091}.exe09/01/06 18:16:35 [Note]: 10002 109/01/06 18:17:05 [Note]: 7007 0@+

Séb08 · Answer

Télécharge: Pocket Killbox ici http://www.downloads.subratam.org/KillBox.exe :: Démo d utilisation (merci a Balltrap34 pour cette réalisation) :: http://pageperso.aol.fr/balltrap34/killbox.htm Regarde la méthode du bloc note et fais pareil avec cette liste: c:\WINDOWS\system32\csldt.exec:\WINDOWS\system32\{37DA4552-A691-4FA4-B38D-78AB6E2981B0}.exec:\WINDOWS\system32\{90174B7A-85A8-412C-B03C-14F5A0230492}.exe c:\WINDOWS\system32\{B430814E-0A5E-4F01-9C23-C50F3487A091}.exeEnsuite, redemarre ton PC et remet un rapport Blacklight comme tu viens de faire.A+

Lylandra · Answer

Ouaaaaiis ça a l'air clean maintenant, et les liens Google ont l'air d'être OK. J'ai bien fait de venir ici !Reste à ce que je vérifie si l'ordi ne se bloque plus jamais au démarrage.Si vous avez des conseils pour faire un ultime nettoyage je suis preneuse.Est-ce que killbox est à utiliser pour tous les hidden files que trouve BlackLight ou faut-il être connaisseur ?Bon WELyl.PS : je ne suis pas là du WE donc vous pouvez prendre votre temps pour répondre ;-)09/01/06 22:59:45 [Info]: BlackLight Engine 1.0.46 initialized09/01/06 22:59:45 [Info]: OS: 5.1 build 2600 (Service Pack 2)09/01/06 22:59:45 [Note]: 7019 409/01/06 22:59:45 [Note]: 7005 009/01/06 22:59:47 [Note]: 7006 009/01/06 22:59:47 [Note]: 7011 230809/01/06 22:59:47 [Note]: 7026 009/01/06 22:59:47 [Note]: 7026 009/01/06 22:59:52 [Note]: FSRAW library version 1.7.101909/01/06 23:00:47 [Note]: 7007 0

Séb08 · Answer

OK !Pour vérifier, scanne ton PC avec cet antivirus en ligne : http://www.bitdefender.fr/bd/site/search.php#Clique sur « scan on line »  suis les instructions.Et colle le rapportAinsi qu'un log Hiajck après le scan bitdefender.A+

Lylandra · Answer

Bonjour,Scan online de BitDefender me dit "This web site is not authorized to host this ActiveX control. Please contact..."

Séb08 · Answer

Tu l'as fait sous Internet Explorer et tu as accepté l'activX ?A+

Lylandra · Answer

Oui !

Séb08 · Answer

Essaye avec ces liens :Bitdefender:https://www.bitdefender.fr/ouhttp://www.bitdefender.fr/scan/license.phpPour le premier tu cliques sur "scan on line" et si tu choisis le deuxième clique sur "I agree" tu dois pouvoir le faire avec un des 2, et colle moi le rapport.A+

Lylandra · Answer

Redécidément... le 2ème lien m'indique"Failed to load interface -- You must have administrative rights on this computer; you also must have the Internet Explorer security settings to the Medium level. "ce qui est délire vu que je suis bien sûr administrateur et que ma sécurité d'IE est à "moyen".@+

Séb08 · Answer

Va voir tes paramètres IE et mets les sur "par défaut".A+

Lylandra · Answer

Tout pareil.J'ai désinstallé BitDefender et recommencé : il me dit que j'ai SP2 et que je dois cliquer sur "installer Active X", ce que je fais, puis il me demande si je veux installer BitDefender et je dis oui, puis il l'installe et c'est là que j'ai le message.

Lylandra · Answer

Tout pareil.J'ai désinstallé BitDefender et recommencé : il me dit que j'ai SP2 et que je dois cliquer sur "installer Active X", ce que je fais, puis il me demande si je veux installer BitDefender et je dis oui, puis il l'installe et c'est là que j'ai le message.Pareil aussi en mode sans échec.Bonne soirée :/

Séb08 · Answer

je viens d'essayer le 2ème lien ne fonctionne pas apparemment par contre le 1er https://www.bitdefender.fr/ si, donc clique dessus et sur "Bitdefender scan on line" (a gauche) puis accepte les conditions et le téléchargement des mise a jour et du scan doit commencer.Tiens moi au courantA+

Lylandra · Answer

Salutheu non je t'assure je viens de recommencer encore et c'est avec ce lien là que j'obtiens "This web site is not authorized to host this ActiveX control. Please contact..."

Séb08 · Answer

essaye avec Kaspersky :Kaspersky:https://www.kaspersky.fr/downloadsclique sur  "kasperky on line scanner" accepte les conditions et ça devrait fonctionner.a+

Lylandra · Answer

Ca marche pas !!!Mais non j'déconne, comme dirait mon chef...Alors Kaspersky m'indique plein de "Object is blocked", je ne vous indique que les autres :C:\Program Files\Spamihilatorecycle\2453971_195154_54427e.recycle/[From Justice Tamberlin ][Date Mon, 21 Aug 2006 18:33:53 +0300]/goldcash43.zip/exchscreen.exe  Infected: Trojan-Downloader.Win32.Agent.auk C:\Program Files\Spamihilatorecycle\2453971_195154_54427e.recycle/[From Justice Tamberlin ][Date Mon, 21 Aug 2006 18:33:53 +0300]/goldcash43.zip  Infected: Trojan-Downloader.Win32.Agent.auk  C:\Program Files\Spamihilatorecycle\2453971_195154_54427e.recycle  Mail: infected - 2C:\WINDOWS\system32
lrgrdim.exe  Infected: Packed.Win32.Tibs.a

Séb08 · Answer

Ahh quand même ! :)Fais un scan Ewido (je vois qu'il est installé sur ta bécane) mets le à jour avant de la lancer et colle moi le rapport.A+

Lylandra · Answer

Et voilà :---------------------------------------------------------ewido anti-spyware - Scan Report--------------------------------------------------------- + Created at:	22:22:57 07/09/2006 + Scan result:	C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@247realmedia[2].txt -> TrackingCookie.247realmedia : No action taken.C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@estat[1].txt -> TrackingCookie.Estat : No action taken.C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : No action taken.C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@weborama[1].txt -> TrackingCookie.Weborama : No action taken.::Report endEt bonne nuit !Lyl.

Séb08 · Answer

Tu n'as rien nettoyé avec Ewido le "no action taken" signifie que tu as refusé le nettoyage (pas grave ce ne sont que des cookies) mais a l'avenir "deleted" tout ce qu'il te trouve.Est ce que tu as ce un dossier (en italique) et fichier  (en gras)comme suit :C:\Program Files\Spamihilator\recycle\2453971_195154_54427e.recycle/[From Justice Tamberlin ][Date Mon, 21 Aug 2006 18:33:53 +0300]/goldcash43.zip/exchscreen.exe dans ta bécane ?Ils me paraissent bizarre... A+

Lylandra · Answer

Bonjour,c'est parce que je n'avais pas encore accepté les actions quand j'ai posté le rapport, je l'ai fait après.Il n'y a pas le fichier que tu indiques. Tout ce qu'il y a dans Spamihilatorecycle ce sont des fichiers du type 2453969_182804_4a082.recycleEt pour le C:\WINDOWS\system32
lrgrdim.exe Infected: Packed.Win32.Tibs.ade Kaspersky ? c'est pas un virus ?Bonne journée et à ce soir,Lyl.

Séb08 · Answer

Ok alors supprime si présents ces fichiers :C:\Program Files\Spamihilatorecycle\2453971_195154_54427e.recycleC:\WINDOWS\system32
lrgrdim.exe vide ta corbeille, redémarre ton PC et dis moi ou en sont tes probs s'il t'en reste A+

Lylandra · Answer

Bonsoir,Kaspersky ne m'indique plus qu'un fichier :C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP45\A0011066.exe  Infected: Packed.Win32.Tibs.a c'est normal je suppose ? alors tout il est ok ?

Séb08 · Answer

Ta restauration système est infectée...AlorsDésactive ta restauration système (uniquement si tu es sous XP): Clic droit sur poste de travail puis, propriété, tu cliques sur onglet restauration système tu coches la case « désactiver la restauration » et applique. Puis, ¤Réactive ta restauration système (uniquement si tu es sous XP): Clic droit sur poste de travail puis, propriété, tu cliques sur onglet restauration système tu décoches la case « désactiver la restauration » et applique.http://www.libellules.ch/desactiver_restauration.phpEt refait un scan bitdefender s'il est propre on recréera un point de resto propre.A+

Lylandra · Answer

Heu... j'ai fait la désactivation/réactivation mais BitDefender j'ai toujours le même message pour...

Séb08 · Answer

colle moi le rapport de Bitdefender.A+

Lylandra · Answer

BitDefender me met toujours ""This web site is not authorized to host this ActiveX control. Please contact..."mais Kaspersky ne me donne plus de fichiers infectés.

Séb08 · Answer

Ou en sont tes probs ?A+

Lylandra · Answer

Ah ! Benh a priori je n'en ai plus !J'avais l'impression que tu attendais encore des infos.Bon et bien alors encore merci pour tout !Mon ordi n'a jamais fonctionné aussi rapidement !Bonne continuation.Lyl.

Séb08 · Answer

ok recré un point de resto comme ceci Création d'un point propre :* Cliquez sur « Démarrer » => tous les programmes=> accessoires=> outils systèmes=> restauration du système=> creer un point de restauration =>nomme le créer ==> "ok"Et ca sear clean !Bon surf .A+

[Nettoyage] J'y arrive pas...

31 réponses

Discussions similaires

Newsletters