bonjour à tous,
symptômes:messages d'alerte récurrents me demandant demettre à jour mon AntiSpyware
Plusieurs formes de CWS détectés avec CWshreder.
réapparition spontanée des BHO malgré les suppressions.
J'ai appliqué la procédure recommandée (CCleaner,AVG,hijackthis)
Merci d'avance pour votre aide
Bonjour pephy,
Ewido a bien bossé apparemment.
1. Lance Hijackthis, clique sur Do a system scan only et coche les lignes suivantes :
Ferme toutes les fenêtres, exceptés hijackthis, et clique sur Fix Checked.O2 - BHO: (no name) - {086ae192-23a6-48d6-96ec-715f53797e85} - (no file)
O2 - BHO: (no name) - {11904ce8-632a-4856-a7cc-00b33fe71bd8} - (no file)
O2 - BHO: (no name) - {150fa160-130d-451f-b863-b655061432ba} - (no file)
O2 - BHO: (no name) - {17da0c9e-4a27-4ac5-bb75-5d24b8cdb972} - (no file)
O2 - BHO: (no name) - {1c4da27d-4d52-4465-a089-98e01bb725ca} - (no file)
O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb1} - (no file)
O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb2} - (no file)
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - (no file)
O2 - BHO: (no name) - {2d38a51a-23c9-48a1-a33c-48675aa2b494} - (no file)
O2 - BHO: (no name) - {2e246fae-8420-11d9-870d-000c2917de7f} - (no file)
O2 - BHO: (no name) - {2e9caff6-30c7-4208-8807-e79d4ec6f806} - (no file)
O2 - BHO: (no name) - {746455fe-d059-47e7-af0e-140e03f5a447} - (no file)
O2 - BHO: (no name) - {87185e78-a61b-4db3-965a-3235bbd7a622} - (no file)
O2 - BHO: (no name) - {8dc8f96d-34f7-1501-a2a4-631341aa3ac1} - (no file)
O2 - BHO: (no name) - {a6f42cad-2559-48df-af30-89e480af5dfa} - (no file)
O2 - BHO: (no name) - {AB268D16-3B58-482F-91EB-8D305534302F} - (no file)
O2 - BHO: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - (no file)
O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765721306} - (no file)
O2 - BHO: (no name) - {d1ac752e-883f-4ed8-8828-b618c3a72152} - (no file)
O2 - BHO: (no name) - {e2b2b5a1-b48c-4886-a318-723916a01024} - (no file)
O2 - BHO: (no name) - {e2ddf680-9905-4dee-8c64-0a5de7fe133c} - (no file)
O2 - BHO: (no name) - {e3eebbe8-9cab-4c76-b26a-747e25ebb4c6} - (no file)
O2 - BHO: (no name) - {e6d5237d-a6c7-4c83-a67f-f9f15586fa62} - (no file)
O2 - BHO: (no name) - {e7afff2a-1b57-49c7-bf6b-e5123394c970} - (no file)
O2 - BHO: (no name) - {fcaddc14-bd46-408a-9842-cdbe1c6d37eb} - (no file)
O2 - BHO: (no name) - {fd9bc004-8331-4457-b830-4759ff704c22} - (no file)
O2 - BHO: (no name) - {ff1bf4c7-4e08-4a28-a43f-9d60a9f7a880} - (no file)
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - (no file)
Ou en sont les symptômes ?
Bonne journée
Cyrrus
bonjour,
malheureusement j'ai déjà fait çà plusieurs fois çà ne change rien; tout se retrouve au même endroit.
J'ai également utilisé Spybot qui m'a trouvé plein de trucs;on a beau faire supprimer tout est toujours là .
Même l'effacement direct dans la BdR ne se fait pas...
scan après "fix checked" et redémarrage.
rien de nouveau
Re,
Etrange....as tu essayé de cocher et fixer les lignes en mode sans échec ?
En mode sans échec la suppression s'est faite mais tout réapparaît quand on redémarre normalement
Bonjour pephy,
Télécharger et installer Registrar LiteRe-démarrer le PC et poster un nouveau rapport HijackThis.
- Double-cliquer l'icône violet "Registrar Lite" présent sur le bureau.
- Copier la ligne ci-dessous et la coller dans le champ "Address" (situé en haut) du programme:
HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Explorer\Browser Helper Objects
- Cliquer le bouton "Go" .
- du côté droit il chargera tous tes BHO (on ne voit qu'un lot de "nombres")
- rechercher les entrés suivantes:
Code:{086ae192-23a6-48d6-96ec-715f53797e85} {11904ce8-632a-4856-a7cc-00b33fe71bd8} {150fa160-130d-451f-b863-b655061432ba} {17da0c9e-4a27-4ac5-bb75-5d24b8cdb972} {1c4da27d-4d52-4465-a089-98e01bb725ca} {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb1} {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb2} {202a961f-23ae-42b1-9505-ffe3c818d717} {2d38a51a-23c9-48a1-a33c-48675aa2b494} {2e246fae-8420-11d9-870d-000c2917de7f} {2e9caff6-30c7-4208-8807-e79d4ec6f806} {746455fe-d059-47e7-af0e-140e03f5a447} {87185e78-a61b-4db3-965a-3235bbd7a622} {8dc8f96d-34f7-1501-a2a4-631341aa3ac1} {a6f42cad-2559-48df-af30-89e480af5dfa} {AB268D16-3B58-482F-91EB-8D305534302F} {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} {cf021f40-3e14-23a5-cba2-717765721306} {d1ac752e-883f-4ed8-8828-b618c3a72152} {e2b2b5a1-b48c-4886-a318-723916a01024} {e2ddf680-9905-4dee-8c64-0a5de7fe133c} {e3eebbe8-9cab-4c76-b26a-747e25ebb4c6} {e6d5237d-a6c7-4c83-a67f-f9f15586fa62} {e6d5237d-a6c7-4c83-a67f-f9f15586fa62} {e7afff2a-1b57-49c7-bf6b-e5123394c970} {fcaddc14-bd46-408a-9842-cdbe1c6d37eb} {fd9bc004-8331-4457-b830-4759ff704c22} {ff1bf4c7-4e08-4a28-a43f-9d60a9f7a880} {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}- Cliquer-droit sur chacun et choisir Properties
- Cliquer sur le bouton "Permissions" : une nouvelle fenêtre va s'ouvrir .
- Cliquer sur le bouton "Paramètres avancés"
- Cocher la case: 'Hérite de l'objet parents les entrées d'autorisation...'
- Cliquer "OK", "OK" encore et cliquer-droit sur chacun des BHO suivants:
Code:{086ae192-23a6-48d6-96ec-715f53797e85} {11904ce8-632a-4856-a7cc-00b33fe71bd8} {150fa160-130d-451f-b863-b655061432ba} {17da0c9e-4a27-4ac5-bb75-5d24b8cdb972} {1c4da27d-4d52-4465-a089-98e01bb725ca} {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb1} {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb2} {202a961f-23ae-42b1-9505-ffe3c818d717} {2d38a51a-23c9-48a1-a33c-48675aa2b494} {2e246fae-8420-11d9-870d-000c2917de7f} {2e9caff6-30c7-4208-8807-e79d4ec6f806} {746455fe-d059-47e7-af0e-140e03f5a447} {87185e78-a61b-4db3-965a-3235bbd7a622} {8dc8f96d-34f7-1501-a2a4-631341aa3ac1} {a6f42cad-2559-48df-af30-89e480af5dfa} {AB268D16-3B58-482F-91EB-8D305534302F} {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} {cf021f40-3e14-23a5-cba2-717765721306} {d1ac752e-883f-4ed8-8828-b618c3a72152} {e2b2b5a1-b48c-4886-a318-723916a01024} {e2ddf680-9905-4dee-8c64-0a5de7fe133c} {e3eebbe8-9cab-4c76-b26a-747e25ebb4c6} {e6d5237d-a6c7-4c83-a67f-f9f15586fa62} {e6d5237d-a6c7-4c83-a67f-f9f15586fa62} {e7afff2a-1b57-49c7-bf6b-e5123394c970} {fcaddc14-bd46-408a-9842-cdbe1c6d37eb} {fd9bc004-8331-4457-b830-4759ff704c22} {ff1bf4c7-4e08-4a28-a43f-9d60a9f7a880} {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}- Choisir "delete".
- Quitter Registrar Lite.
Cyrrus
Problème! le bouton "Permissions" est grisé je ne peux pas cliquer dessus
apparemment ce n'est possible qu'avec la version PRO:"setting key permission is only available in the PRO version"
J'ai essayé de supprimer en passant par regedit mais çà n'a pas marché
même si on supprime dans Registrar ,sans vérifier les paramètres avancés, en mode sans échec, tout se rétablit au redémarrage
???????????????
pour info,tout ce que AVG avait mis en quarantaine hier est revenu sauf Hijacker.Small.js
Bonsoir pephy,
Erf, dans ton premier rapport j'avais laissé passer un processu infectieux. On va le supprimer, en esperant que c'est lui qui bloque la suppression des BHO. Si le rapport hijackthis a évolué entre temps, poste en moi un nouveau avant d'effectuer les opérations suivantes :
1. Redemarre en mode sans échec
2. Assure toi d'avir accès à tous les fichiers/dossiers cachés :
3. Supprime le fichier suivant :-- Ouvre le poste de travail
-- Clic sur le menu outils en haut à droite puis options des dossiers
-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut
-- Coche dans la liste "Afficher les fichiers cachés"
-- Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"
-- Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
C:\WINDOWS\system32\msmapi32.exe
4. Puis lance Hijackthis et coche les lignes relatives aux BHO qui ne disparaissaient pas et Fix Checked.
Reposte un rapport hijackthis.
bonsoir Cyrrus,
moi aussi je l'avais laissé passer;il me semblait bizarre mais je n'avais pas vérifié.
Il était accompagné d'un "msmapi32.exe.MANIFEST" que j'ai viré aussi.
J'ai laissé un 'msmsn' qui me semble douteux car date et heure de création identique à celle de msmapi....
Apparemment le calme semble revenu
Dis moi s'il y a encore du nettoyage à faire.
Merci pour ton aide.
bonne soirée
Bonsoir pephy,
Apparemment c'est bon. Le processus devait s'occuper de creer les clés de demarrage. Les fichiers étant absents, on tombait sur ces nombreuses lignes en no file.
Merci surtout à Malekal, un collègue, qui m'a bien aiguillé sur ce coup
Lis bien le dossier de prevention en épinglé sur ce forum. Si tu as des questions relatives à la sécurisation de ta machine, je suis là bien entendu.
Bonne soirée
Cyrrus
Bonjour à vous !
Je me permets de relancer cette discussion car j'ai exactement les même symptomes que pephy, à savoir une infection par CWS et 809 (!) entrées BHO vides dans le registre impossibles à supprimer. Seul AVG détecte l'infection mais pas moyen de l'éradiquer.
Malheureusement pour moi, pas de fichier C:\WINDOWS\system32\msmapi32.e xe donc je ne sais pas quel est le fichier qui protège les entrées de registre
HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Explorer\Browser Helper Objects
Merci d'avance de m'aider à virer cette saloperie !
Bonjour lu812 et bienvenue sur Futura-Sciences ...
Crées ton propre sujet et suis, stp, la procédure de prénettoyage de Futura ...
Poste bien tes rapports en pièces jointes ...
Bonne journée
