Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

HijackThis...impossible de l'éxécuter [résolu]

 

jeanreveu et 2 utilisateurs anonymes
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

HijackThis...impossible de l'éxécuter [résolu]

Prévenir les modérateurs en cas d'abus 
Stephanie3​0
stephanie30
  1. Posté le 14/01/2006 à 18:59:46  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
J'ai installé Nod32, SpyBot et Ad-Aware pour nettoyer mon ordi...mais j'ai l'impression qu'ils n'ont pas tout trouvé...notament le problème VcClient.exe et VcMain.exe qui apparait au démarrage.  J'ai trouvé comment les enrayer en cherchant sur le forum mais quand je veux éxécuter HiJackThis 1.99 il n'ouvre pas.  J'essaie l'ancienne version 1.98.2=meme chose. Tout ce que je réussi èa faire c'est les dézipper...après je ne peux plus aller plus loin. Que faire?

 Merci à l'avance pour l'aide
 Stéphanie

gchris
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 14/01/2006 à 19:05:25  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
http://www.safer-networking.org/files/delcwssk.zip
 Dézippe ce fichier sur ton bureau.
 Dans le dossier extrait double-clic sur miniremoval_coolwebsearch_smar​tkiller.exe
 ---

 -Vas télécharger CWShredder http://img36.exs.cx/img36/2375​/download0hy.gif (lien sur l'image)
 -Met le à jour via la touche Update.
 -Assures-toi d'avoir toute les fenêtres fermées (IE compris) et lance CWShreder
 -Cliques sur "Fix next"
 ---

 Essais de relancer HijackThis.

 Fais ce scan en ligne :

 http://www.kaspersky.com/virusscanner

 - choisis Kaspersky online scanner
 - colle ici le rapport (si infecté).
 --

 et aussi un deuxième avis :

 http://www.pandasoftware.com/a [...] ncipal.htm
 clique sur "analyser votre pc"
 entre un email valide, indique ta localisation et coche la case "j'accepte"
 clique sur "analyser maintenant"
 accepte le téléchargement/installation du fichier activeX
 une fois terminé copie/colle ici le rapport.
 ---

(Publicité)
stephanie30
  1. Posté le 14/01/2006 à 19:56:33  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Merci pour la réponse rapide...j'ai fait les 2 premières étapes :pas de coolwebsearch sur mon ordi...cependant je ne suis toujours pas capable de lancer Hijackthis...
 Scan on line en cours...je reviens avec les rapports

stephanie30
  1. Posté le 15/01/2006 à 00:00:41  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Voici mon rapport de scan de kaspersky...

 KASPERSKY ON-LINE SCANNER REPORT
 Saturday, January 14, 2006 17:51:51
 Operating System: Microsoft Windows XP Professional,  (Build 2600)
 Kaspersky On-line Scanner version: 5.0.67.0
 Kaspersky Anti-Virus database last update: 14/01/2006
 Kaspersky Anti-Virus database records: 161366
 ------------------------------​------------------------------​-------------------

 Scan Settings:
  Scan using the following antivirus database: standard
  Scan Archives: true
  Scan Mail Bases: true

 Scan Target - My Computer:
  A:\
  C:\
  D:\
  E:\
  F:\
  G:\

 Scan Statistics:
  Total number of scanned objects: 29815
  Number of viruses found: 9
  Number of infected objects: 23
  Number of suspicious objects: 0
  Duration of the scan process: 9845 sec

 Infected Object Name - Virus Name
 C:\WINDOWS\SYSTEM32\o Infected: Trojan-Downloader.BAT.Ftp.ab
 C:\WINDOWS\SYSTEM32\i Infected: Trojan-Downloader.BAT.Ftp.ab
 C:\WINDOWS\SYSTEM32\IEEXPLORER​.exe Infected: Backdoor.Win32.SdBot.yx
 C:\WINDOWS\SYSTEM32\eraseme_05​076.exe Infected: Backdoor.Win32.SdBot.aig
 C:\WINDOWS\SYSTEM32\eraseme_86​330.exe Infected: Backdoor.Win32.SdBot.aig
 C:\WINDOWS\SYSTEM32\eraseme_13​344.exe Infected: Backdoor.Win32.SdBot.aig
 C:\WINDOWS\SYSTEM32\eraseme_68​225.exe Infected: Backdoor.Win32.SdBot.aig
 C:\WINDOWS\SYSTEM32\eraseme_26​443.exe Infected: Backdoor.Win32.SdBot.aig
 C:\WINDOWS\SYSTEM32\eraseme_06​707.exe Infected: Backdoor.Win32.SdBot.aig
 C:\WINDOWS\SYSTEM32\eraseme_02​650.exe Infected: Backdoor.Win32.SdBot.aig
 C:\WINDOWS\SYSTEM32\DH9013.exe​/data0002 Infected: Trojan-Clicker.Win32.Small.jf
 C:\WINDOWS\SYSTEM32\DH9013.exe Infected: Trojan-Clicker.Win32.Small.jf
 C:\WINDOWS\enewsletterpro.exe Infected: Trojan.Win32.StartPage.aha
 C:\WINDOWS\banmanpro.exe Infected: Trojan-Clicker.Win32.VB.kc
 C:\System Volume Information\_restore{D2C6A63B-​6A26-4DA4-B483-225F9481DFF7}\R​P3\A0000131.dll Infected: Trojan-Clicker.Win32.Small.jf
 C:\System Volume Information\_restore{D2C6A63B-​6A26-4DA4-B483-225F9481DFF7}\R​P4\A0000157.dll Infected: Trojan-Clicker.Win32.Small.jf
 C:\System Volume Information\_restore{D2C6A63B-​6A26-4DA4-B483-225F9481DFF7}\R​P4\A0000158.exe Infected: Trojan-Downloader.Win32.Qoolog​ic.al
 C:\System Volume Information\_restore{D2C6A63B-​6A26-4DA4-B483-225F9481DFF7}\R​P5\A0000175.exe Infected: Trojan-Downloader.Win32.TSUpda​te.o
 C:\System Volume Information\_restore{D2C6A63B-​6A26-4DA4-B483-225F9481DFF7}\R​P5\A0000186.exe Infected: Trojan-Downloader.Win32.Qoolog​ic.al
 C:\System Volume Information\_restore{D2C6A63B-​6A26-4DA4-B483-225F9481DFF7}\R​P5\A0000187.exe Infected: Trojan-Downloader.Win32.TSUpda​te.o
 C:\System Volume Information\_restore{D2C6A63B-​6A26-4DA4-B483-225F9481DFF7}\R​P5\A0000191.exe Infected: Trojan-Downloader.Win32.Qoolog​ic.al
 C:\System Volume Information\_restore{D2C6A63B-​6A26-4DA4-B483-225F9481DFF7}\R​P5\A0000194.cpl Infected: Trojan-Downloader.Win32.Qoolog​ic.ad
 C:\System Volume Information\_restore{D2C6A63B-​6A26-4DA4-B483-225F9481DFF7}\R​P7\A0000914.dll Infected: Trojan-Clicker.Win32.Small.jf

 Scan process completed.

benj_mic
Tu cartonnes ! (de 500 à 999 messages postés)
  1. Posté le 15/01/2006 à 00:05:34  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
telecharge a2, qui est tres bon dans le domaine des trojans.
 telecharge aussi a2 free (tres bon anti-trojans , et bon anti-spyware):
 http://www.01net.com/telecharg [...] 26618.html

 enregistre toi (ca prends 5 min) , ensuite mets le a jour , et fais une analys complte de ton disque dur.
 vire tout ce qu il trouve en cliquant sur "effacé les malware selectionnés" , et apres sur "terminer".

(Publicité)
stephanie30
  1. Posté le 15/01/2006 à 04:32:51  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Enfin...j'ai été capable de lancer HijackThis...en voici le log.  J'ai plein de popups, probleme de VcClient.exe, VcMain.exe au démarrage....et plein d'avertissements "louches" qui me disent que tout est infecté et d'aller sur leurs sites bidons.
 si vous pourriez m'aider en me disant quoi fixer!
 Merci

 Logfile of HijackThis v1.99.1
 Scan saved at 22:23:28, on 2006-01-14
 Platform: Windows XP  (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\Program Files\Eset\nod32krn.exe
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\System32\spool\DRIV​ERS\W32X86\3\E_S4I2G1.EXE
 C:\Program Files\Eset\nod32kui.exe
 C:\Program Files\FinePixViewer\QuickDCF.e​xe
 C:\Documents and Settings\user\Mes documents\HijackThis\HijackThi​s.exe

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://www.globetrotter.net/
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 N1 - Netscape 4: user_pref("browser.startup.hom​epage", "www.fr.yahoo.com/" ); (C:\Program Files\Netscape\Users\stephanie​_delisle\prefs.js)
 O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075B​EDE5EB5} - C:\PROGRAM FILES\TELUS\TURBOGT\PBHELPER.D​LL
 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7​942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.​dll
 O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C​9082467} - C:\WINDOWS\System32\msdxm.ocx
 O4 - HKLM\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe
 O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
 O4 - HKLM\..\Run: [kreVGjsIX] C:\WINDOWS\uftosh.exe
 O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\sdsxsp.exe reg_run
 O4 - HKLM\..\Run: [EPSON Stylus CX5400] C:\WINDOWS\System32\spool\DRIV​ERS\W32X86\3\E_S4I2G1.EXE /P19 "EPSON Stylus CX5400" /O6 "USB001" /M "Stylus CX5400"
 O4 - HKLM\..\Run: [Ink Monitor] C:\Program Files\EPSON\Ink Monitor\InkMonitor.exe
 O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
 O4 - HKLM\..\Run: [elitemedia] C:\WINDOWS\elitemediapop.exe
 O4 - HKLM\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe
 O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
 O4 - HKCU\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe
 O4 - HKCU\..\Run: [CU1] C:\Program Files\Common Files\VCClient\VCClient.exe
 O4 - HKCU\..\Run: [CU2] C:\Program Files\Common Files\VCClient\VCMain.exe
 O4 - HKCU\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe
 O4 - Startup: Zeno.lnk = C:\WINDOWS\SYSTEM32\nwinqsap.e​xe
 O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
 O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.e​xe
 O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-00902​76F843F} - http://www.net2phone.com/ (file missing)
 O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-00902​76F843F} - http://www.net2phone.com/ (file missing)
 O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F​0318AFE} - (no file)
 O15 - Trusted Zone: *.elitemediagroup.net
 O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C​29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downl [...] nicode.cab
 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05C​B959537} (MSN Photo Upload Tool) - http://by24fd.bay24.hotmail.ms [...] nPUpld.cab
 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F​29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/a [...] asinst.cab
 O16 - DPF: {9AC54695-69A4-46F1-BE10-10C74​F9520D5} - http://cabs.elitemediagroup.net/cabs/mediaview.cab
 O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D3​5709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB
 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0​A5519FF} (MsnMessengerSetupDownloadCont​rol Class) - http://messenger.msn.com/downl [...] loader.cab
 O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF​06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/a [...] player.cab
 O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB1​6A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
 O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04​F8EF29D} (Hotmail Attachments Control) - http://by24fd.bay24.hotmail.ms [...] Atchmt.ocx
 O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe

gchris
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 15/01/2006 à 09:44:07  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Désactive la restauration automatique du système. Si tu ne sais pas comment faire, regarde la:
 
 -Pour xp: http://www.libellules.ch/desac [...] ration.php
 
 -Pour Millenium : http://service1.symantec.com/S [...] 0091903924
 ---

 HijackThis -> Do a system scan only -> coche ces lignes :

 O4 - HKLM\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe
 O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
 O4 - HKLM\..\Run: [kreVGjsIX] C:\WINDOWS\uftosh.exe
 O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\sdsxsp.exe reg_run
 O4 - HKLM\..\Run: [elitemedia] C:\WINDOWS\elitemediapop.exe
 O4 - HKLM\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe
 O4 - HKCU\..\Run: [Miscrosoft Windows Explorer] IEEXPLORER.exe
 O4 - HKCU\..\Run: [CU1] C:\Program Files\Common Files\VCClient\VCClient.exe  
 O4 - HKCU\..\Run: [CU2] C:\Program Files\Common Files\VCClient\VCMain.exe
 O4 - HKCU\..\RunServices: [Miscrosoft Windows Explorer] IEEXPLORER.exe
 O4 - Startup: Zeno.lnk = C:\WINDOWS\SYSTEM32\nwinqsap.e​xe
 O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.e​xe
 O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-00902​76F843F} - http://www.net2phone.com/ (file missing)
 O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-00902​76F843F} - http://www.net2phone.com/ (file missing)
 O15 - Trusted Zone: *.elitemediagroup.net
 O16 - DPF: {9AC54695-69A4-46F1-BE10-10C74​F9520D5} - http://cabs.elitemediagroup.net/cabs/mediaview.cab
 O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D3​5709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB

 Ferme les programmes en cours, connexion incluse et fais Fix Checked.
 ---

 -Télécharge : Pocket KillBox
 -Décomresse-le (clic droit -> extraire tout)

 Sélectionne ce texte :

 



C:\WINDOWS\SYSTEM32\o
 C:\WINDOWS\SYSTEM32\i
 C:\WINDOWS\SYSTEM32\IEEXPLORER​.exe
 C:\WINDOWS\SYSTEM32\eraseme_05​076.exe
 C:\WINDOWS\SYSTEM32\eraseme_86​330.exe
 C:\WINDOWS\SYSTEM32\eraseme_13​344.exe
 C:\WINDOWS\SYSTEM32\eraseme_68​225.exe
 C:\WINDOWS\SYSTEM32\eraseme_26​443.exe
 C:\WINDOWS\SYSTEM32\eraseme_06​707.exe
 C:\WINDOWS\SYSTEM32\eraseme_02​650.exe
 C:\WINDOWS\SYSTEM32\DH9013.exe
 C:\WINDOWS\SYSTEM32\DH9013.exe
 C:\WINDOWS\enewsletterpro.exe
 C:\WINDOWS\banmanpro.exe
 c:\\drsmartloadb.exe
 C:\WINDOWS\uftosh.exe
 C:\WINDOWS\System32\sdsxsp.exe
 C:\Program Files\Common Files\VCClient\VCClient.exe
 C:\Program Files\Common Files\VCClient\VCMain.exe
 C:\WINDOWS\SYSTEM32\nwinqsap.e​xe
 




 Clic droit -> Copier.
 ---

 - Ouvres killbox.exe
 - Sélectionne "delete on reboot"
 - Clique sur "File" -> "Past from clip board"
 - Clique sur la croix rouge et et blanche
 - Répond par "yes et laisse redémarrer ton pc.
 ---

 Supprime ce dossier : C:\!KillBox
 Refais les 2 scans en lignes et colle les nouveaux rapports.
 colle un nouveau log HijackThis.

stephanie30
  1. Posté le 15/01/2006 à 21:43:57  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bon, voici les réponses de scan...
 il semble qu'il reste encore des virus.
 De plus, j'ai des fenêtres pop-up inconnu qui me disent tout le temps que mon ordi est infecté et de me diriger sur des sites comme :www.regfixit.com, www.scanfix.net, www.win32fix.com, www.win-repair.com =tous mènent au même site...

 Scan de Panda-on-line:
 Incident                                                                        Statut                        Analyse                                                                                                    Adware:adware program                                                           No Désinfecté                 C:\WINDOWS\SYSTEM32\log.~                                                                                                    Adware:adware/webhancer                                                         No Désinfecté                 C:\WINDOWS\whCC-GIANT.exe                                                                                                    Adware:adware/delfinmedia                                                       No Désinfecté                 C:\PROGRAM FILES\DelFin                                                                                                    Adware:adware/downloadware                                                      No Désinfecté                 Registre Windows                                                                                                    Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\user\Cookies\user@xit​i[1].txt                                                                                                    Spyware:Cookie/Adserver                                                         No Désinfecté                 C:\Documents and Settings\user\Cookies\user@z1.​adserver[1].txt                                                                                                    Spyware:Cookie/YieldManager                                                     No Désinfecté                 C:\Documents and Settings\user\Cookies\user@ad.​yieldmanager[1].txt                                                                                                    Spyware:Cookie/Hbmediapro                                                       No Désinfecté                 C:\Documents and Settings\user\Cookies\user@ado​pt.hbmediapro[2].txt                                                                                                    Spyware:Cookie/Bluestreak                                                       No Désinfecté                 C:\Documents and Settings\user\Cookies\user@blu​estreak[2].txt                                                                                                    Adware:Adware/Zeno                                                              No Désinfecté                 C:\WINDOWS\SYSTEM32\rpdsregn.e​xe                                                                                                    Adware:Adware/Medload                                                           No Désinfecté                 C:\WINDOWS\TEMP\rem5265.TMP                                                                                                    Adware:Adware/Zeno                                                              No Désinfecté                 C:\WINDOWS\inst_FI002.exe                                                                                                    Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\user\Cookies\user@xit​i[1].txt                                                                                                    Spyware:Cookie/Adserver                                                         No Désinfecté                 C:\Documents and Settings\user\Cookies\user@z1.​adserver[1].txt                                                                                                    Spyware:Cookie/YieldManager                                                     No Désinfecté                 C:\Documents and Settings\user\Cookies\user@ad.​yieldmanager[1].txt                                                                                                    Spyware:Cookie/Hbmediapro                                                       No Désinfecté                 C:\Documents and Settings\user\Cookies\user@ado​pt.hbmediapro[2].txt                                                                                                    Spyware:Cookie/Bluestreak                                                       No Désinfecté                 C:\Documents and Settings\user\Cookies\user@blu​estreak[2].txt                                                                                                    Spyware:Cookie/Doubleclick                                                      No Désinfecté                 C:\Documents and Settings\user\Application Data\Mozilla\Users50\stephanie​.delisle\bdwjbn80.slt\cookies.​txt[]                                                                                                    Scan de Kaspersky:
 KASPERSKY ON-LINE SCANNER REPORT
 Sunday, January 15, 2006 15:27:22
 Operating System: Microsoft Windows XP Professional,  (Build 2600)
 Kaspersky On-line Scanner version: 5.0.67.0
 Kaspersky Anti-Virus database last update: 15/01/2006
 Kaspersky Anti-Virus database records: 161200
 ------------------------------​------------------------------​-------------------

 Scan Settings:
  Scan using the following antivirus database: standard
  Scan Archives: true
  Scan Mail Bases: true

 Scan Target - My Computer:
  A:\
  C:\
  D:\
  E:\
  F:\
  G:\

 Scan Statistics:
  Total number of scanned objects: 29241
  Number of viruses found: 3
  Number of infected objects: 4
  Number of suspicious objects: 0
  Duration of the scan process: 10263 sec

 Infected Object Name - Virus Name
 C:\Program Files\ESET\infected\KNWGUWCA.N​QF Infected: Trojan-Clicker.Win32.Small.hb
 C:\Program Files\ESET\infected\HQ2C3ADA.N​QF Infected: Trojan-Clicker.Win32.Small.hb
 C:\Program Files\ESET\infected\1BI14YDA.N​QF Infected: Backdoor.Win32.SdBot.aig
 C:\Program Files\ESET\infected\EDVJNFBA.N​QF Infected: Trojan-Spy.Win32.VB.eh

 Scan process completed.

 ET LE LOG DE HiJackThis :
 Logfile of HijackThis v1.99.1
 Scan saved at 10:18:34, on 2006-01-15
 Platform: Windows XP  (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\Program Files\Eset\nod32krn.exe
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\System32\spool\DRIV​ERS\W32X86\3\E_S4I2G1.EXE
 C:\Program Files\Eset\nod32kui.exe
 C:\Program Files\Messenger\msmsgs.exe
 C:\Documents and Settings\user\Mes documents\HijackThis\HijackThi​s.exe

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://www.globetrotter.net/
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 N1 - Netscape 4: user_pref("browser.startup.hom​epage", "www.fr.yahoo.com/" ); (C:\Program Files\Netscape\Users\stephanie​_delisle\prefs.js)
 O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075B​EDE5EB5} - C:\PROGRAM FILES\TELUS\TURBOGT\PBHELPER.D​LL
 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7​942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.​dll
 O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C​9082467} - C:\WINDOWS\System32\msdxm.ocx
 O4 - HKLM\..\Run: [EPSON Stylus CX5400] C:\WINDOWS\System32\spool\DRIV​ERS\W32X86\3\E_S4I2G1.EXE /P19 "EPSON Stylus CX5400" /O6 "USB001" /M "Stylus CX5400"
 O4 - HKLM\..\Run: [Ink Monitor] C:\Program Files\EPSON\Ink Monitor\InkMonitor.exe
 O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
 O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
 O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
 O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C​29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downl [...] nicode.cab
 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05C​B959537} (MSN Photo Upload Tool) - http://by24fd.bay24.hotmail.ms [...] nPUpld.cab
 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F​29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/a [...] asinst.cab
 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0​A5519FF} (MsnMessengerSetupDownloadCont​rol Class) - http://messenger.msn.com/downl [...] loader.cab
 O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF​06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/a [...] player.cab
 O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB1​6A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
 O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04​F8EF29D} (Hotmail Attachments Control) - http://by24fd.bay24.hotmail.ms [...] Atchmt.ocx
 O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe

 À l'aide s.v.p...
 Merci  :'(

(Publicité)
gchris
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 15/01/2006 à 21:47:29  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
- télécharge et installe ewido http://download.ewido.net/ewido-setup.exe
 - Pendant l'installation décoche "Install background guard (required for automatic updates)" et "Install scan via context menu".
 - lance Ewido et mets-le à jour
 - Redémarre en mode sans échec, (en tapotant F8 au démarrage).  Si tu ne comprend pas, >>regarde ici<<.
 - Lance ewido
 - clique "Complete System Scan"
 Attention, pendant le scan, ne pas ouvrir de dossier ou le panneau de configuration
 - quand le scan est terminé, clique sur "Save Report" et localise le rapport.
 ---

 Redémarre ton pc
 colle le rapport d'ewido et un nouveau log HijackThis.

stephanie30
  1. Posté le 16/01/2006 à 10:23:59  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,
 Bon Ewido m'a trouvé 19 fichiers infectésqui ont été corrigés/supprimés.
 Cependant, j'ai encore et toujours ces m*&?* fenêtres qui ouvrent une après l'autre pour me dire que "Windows registry appears to be infected"...des fois c'est 55 erreurs critiques trouvées, ça passe à 47 et 35, etc.

 Voici mon résultat Ewido et le dernier log HijackThis.
 Merci à l'avance...

 + Créé le:  03:17:52, 2006-01-16
 + Somme de contrôle: C3BFB521

 + Résultats du scan:

  HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\App Management\ARPCache\{8A0DCBDA-​6E20-489C-9041-C1E8A0352E75} -> Spyware.NetNucleus : Nettoyer et sauvegarder
  HKU\.DEFAULT\Software\DelFin -> Spyware.Delfin : Nettoyer et sauvegarder
  HKU\.DEFAULT\Software\DelFin\P​romulGate -> Spyware.Delfin : Nettoyer et sauvegarder
  HKU\S-1-5-21-527237240-1580818​891-854245398-1003\Software\De​lFin -> Spyware.Delfin : Nettoyer et sauvegarder
  HKU\S-1-5-21-527237240-1580818​891-854245398-1003\Software\De​lFin\PromulGate -> Spyware.Delfin : Nettoyer et sauvegarder
  HKU\S-1-5-18\Software\DelFin -> Spyware.Delfin : Nettoyer et sauvegarder
  HKU\S-1-5-18\Software\DelFin\P​romulGate -> Spyware.Delfin : Nettoyer et sauvegarder
  C:\WINDOWS\SYSTEM32\rpdsregn.e​xe -> Spyware.ZenoSearch : Nettoyer et sauvegarder
  C:\WINDOWS\876029.exe -> Adware.SaveNow : Nettoyer et sauvegarder
  C:\WINDOWS\TEMP\rem5265.TMP -> Spyware.DownloadWare : Nettoyer et sauvegarder
  C:\WINDOWS\876057.exe -> Adware.Mirar : Nettoyer et sauvegarder
  C:\WINDOWS\Downloaded Program Files\popcaploader.dll -> Not-A-Virus.PornWare.PopCap.b : Nettoyer et sauvegarder
  C:\WINDOWS\inst_FI002.exe -> Spyware.ZenoSearch : Nettoyer et sauvegarder
  C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\US0HEKLA\drs​martload_js[1].htm -> Downloader.IstBar.j : Nettoyer et sauvegarder
  C:\Documents and Settings\user\Cookies\user@est​at[1].txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder
  C:\Documents and Settings\user\Cookies\user@www​.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
  C:\Documents and Settings\user\Cookies\user@ad.​yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder
  :mozilla.16:C:\Documents and Settings\user\Application Data\Mozilla\Users50\stephanie​.delisle\bdwjbn80.slt\cookies.​txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
  :mozilla.27:C:\Documents and Settings\user\Application Data\Mozilla\Users50\stephanie​.delisle\bdwjbn80.slt\cookies.​txt -> Spyware.Cookie.Bfast : Nettoyer et sauvegarder


 ::Fin du rapport

 Et HijackThis :

 Logfile of HijackThis v1.99.1
 Scan saved at 03:43:44, on 2006-01-16
 Platform: Windows XP  (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\Program Files\ewido anti-malware\ewidoctrl.exe
 C:\Program Files\Eset\nod32krn.exe
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\System32\spool\DRIV​ERS\W32X86\3\E_S4I2G1.EXE
 C:\Program Files\Eset\nod32kui.exe
 C:\Documents and Settings\user\Mes documents\HijackThis\HijackThi​s.exe

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://www.globetrotter.net/
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 N1 - Netscape 4: user_pref("browser.startup.hom​epage", "www.fr.yahoo.com/" ); (C:\Program Files\Netscape\Users\stephanie​_delisle\prefs.js)
 O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075B​EDE5EB5} - C:\PROGRAM FILES\TELUS\TURBOGT\PBHELPER.D​LL
 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7​942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.​dll
 O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C​9082467} - C:\WINDOWS\System32\msdxm.ocx
 O4 - HKLM\..\Run: [EPSON Stylus CX5400] C:\WINDOWS\System32\spool\DRIV​ERS\W32X86\3\E_S4I2G1.EXE /P19 "EPSON Stylus CX5400" /O6 "USB001" /M "Stylus CX5400"
 O4 - HKLM\..\Run: [Ink Monitor] C:\Program Files\EPSON\Ink Monitor\InkMonitor.exe
 O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
 O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
 O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
 O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C​29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downl [...] nicode.cab
 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05C​B959537} (MSN Photo Upload Tool) - http://by24fd.bay24.hotmail.ms [...] nPUpld.cab
 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F​29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/a [...] asinst.cab
 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0​A5519FF} (MsnMessengerSetupDownloadCont​rol Class) - http://messenger.msn.com/downl [...] loader.cab
 O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF​06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/a [...] player.cab
 O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB1​6A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
 O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04​F8EF29D} (Hotmail Attachments Control) - http://by24fd.bay24.hotmail.ms [...] Atchmt.ocx
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{C6042694-2803-4389-BF75-D​A175F2AE9AE}: NameServer = 142.169.1.16 199.84.242.22
 O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
 O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe



gchris
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 16/01/2006 à 19:30:04  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Tues (desactiver)  le service d'affichage des messages : panneau de configuration/outils d'administration/services
 Quand la fenêtre s'ouvre il y a service d'afichage des messages (vers le haut)
 Clic droit dessus/propriétés
 Dans type de démarrage choisis manuel et clique sur arrêter  
 Fais appliquer et redémarre
 Shoot the Messenger automatise cette tache : http://www.grc.com/files/ShootTheMessenger.exe
 ---

 redémarre ton pc.
 met windows à jour.
 ---

 Télécharger Spyware Blaster: http://img36.exs.cx/img36/2375​/download0hy.gif il ne supprime rien, il protège pour empécher les installations de malwares (vaccination). Met à jour et met toutes les protections sur enable.

(Publicité)
stephanie30
  1. Posté le 17/01/2006 à 15:48:12  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:youpi:
 Ça marche!
 C'est revenu comme avant..Merci beaucoup de votre aide!

gchris
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 17/01/2006 à 19:16:08  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
content pour toi.

 @+

 Page :
1

Aller à :
 

Sujets relatifs
fonds d'ecran bloqué [Résolu] demande d'analyse de rapport HijackThis
Pb de Trojan comment lire hijackthis? Help Spywares et trojan svp, registre HiJackThis help aussi!
après avoir reçu l'évaluation de Hijackthis, comment effacer fenêtres "exécuter"
impossible de ré installer un modem  
Plus de sujets relatifs à : HijackThis...impossible de l'éxécuter [résolu]

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
VX2 frappe à nouveau [Résolu] 11
w32.spybot.worm 4
pb sur mon ordinateur 1
c'est quoi ErrorSafe ? 2
spyware infection sur mon bureau [Résolu] 7