Hey !
Apparemment, regsearch ne trouve rien, mais le programme plante à la fin : (
Peut-être à cause des 19 applications chargées sur C: >:[]
Je mets quand même le rapport en fichier joint, même s'il indique pas grand chose (enfin ça semble normal car le fichier wmimgr.dll a disparu de system32)
@+
J'ai fait un scan ewido + kaspersky en mode sans échec, je poste les logs : )
Tous les fichiers impossibles à supprimer, je les ai supprimé manuellement. Mais bon là j'ai un spyware au démarrage donc je suis pas sorti d'affaire : (
A bientôt
On dirait que sality est éradiqué mais j'ai d'autres spywares qui sont pas faciles à virer..
J'ai utilisé un ptit programme nommé "smitfraudfix" mais j'ai un malware nommé "Adware.Look2me" impossible à supprimer..
J'ai heureusement trouvé un software fait pour le supprimer mais pendant le scan des fichiers, j'ai un reboot intempestif donc il est toujours là omg >_<
Bonjour grougna,
si synthexe n'est pas revenu tout à l'heure je m'occuperai de ton cas et je te dirai quoi faire.
Donc tu n'as plus d'alerte pour sality??
Bonne journée,
Igor
Bonjour grougnaIgor
J'espere que tes partiels se sont bien passés grougna ...
Alors, occupons nous de look2me :
Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.
Pour ce qui est de smitfraudfix, qu'as-tu fait ? As-tu passer l'option 1 ? l'option 2Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.
- Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
- Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
- Coche Run this program as a task
- Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
- Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
- Lorsque le scan termine, clique sur le bouton Remove L2M
- Un message Done Scanning apparaîtra, clique OK.
- Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
- Ton PC va maintenant s'éteindre.
- Démarre ton PC normalement.
- Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
Dans le doute, refais moi une option 1 et colle moi le rapport :
Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Dézipper la totalité de l'archive smitfraudfix.zip
Utilisation ----- option 1 - Recherche :
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
Poster le rapport sur le forum.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/proc...processutil.htmRedémarre en mode normal.Redémarre en mode sans echec
Assure toi d'avoir acces a tous les fichiers et dossiers (manips que tu as deja fait)
Cherche et supprime les fichiers suivants en gras (si présents) :
Vides ta corbeilleC:\Program Files\Fichiers communs\Download\mc-110-12-0000228.exe
C:\Program Files\Windows\WinUpdate.exe
C:\Program Files\Windows\wWinUpdate.exe
E:\Downloads\ccsetup128.exe
E:\Downloads\XoftSpy421_165.exe
Passons a un petit nettoyage des fichiers temporaires :
Refais moi un scan hijackthis en mode normal, et colle moi le rapport ainsi que ceux de look2meDestroyer et de smitfraudfix ...Télécharge ATF Cleaner par Atribune.Si tu utilises le navigateur Firefox :
- Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty SelectedSi tu utilises le navigateur Opera :
- Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.Clique Exit, du menu prinicipal, afin de fermer le programme.
- Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.
Voila, bonne journée, j'espere qu'on y verra deja un peu plus clair apres le passage de smit et destroyer ...
Plus de probleme avec Sality ?
Ps : grougna, tu devrais faire attention aux utilitaires dont tu te sers, si tu ne les connais pas, cela peut se révéler dangereux pour ta machine, le mieux serait de passer en parler ici meme avant de les exécuter, il y'aura toujours igor, cyrrus ou moi pour te répondre et te dire si tu peux te lancer ou pas ...
@ller, bon dimanche, et tiens moi au résultat pour tes partiels
Salut igor et synthexe !
En fait je sais pas trop pour sality car comme il avait infecté mon antivirus (avast), je n'en ai pas réinstallé depuis mais ça ne saurait tarder(j'ai d'ailleurs réinstallé look'n'stop qui était également infecté)
Enfin j'ai fait pas mal de scans Kaspersky + ewido donc j'espère qu'il est anéanti :O
Je suis pas sûr à 100% mais en tout cas le fichier wmimgr.dll ne réapparaît plus !
Merci en tout cas pour ta bienveillance igor ^<>^
Synthexe, concernant les fichiers en gras à supprimer, j'en avais déjà supprimé pas mal, (héhé je découvre la magie des rapports xDD) dont les 2 derniers que tu indiquais =)
Ok, je demanderai la prochaine fois, enfin surtout pour ceux que je connais pas, car j'avais déjà utilisé fraudsmitfix pour virer un malware qui modifiait ma page de démarrage :O (buggle machin, un truc comme ça)
Là j'avais une merde nommée spy shériff et apparemment il l'a "nuked" : )
Pour look2me, j'ai installé 2 ptits progs "hoster" pour restaurer les fichiers host de microsoft °°y et un truc nommé "L2meremover" mais ça s'est avéré moins efficace que ton programme, le destroyer
Vraiment sympa ATF cleaner, je le garde, thx
Sinon, j'ai 2 ptites questions :
- c'est normal au démarrage d'avoir un fichier c:\windows\sys32\Kernlx86.exe qui se lance ?! Dans le doute, je l'ai bloqué avec look'n'stop.
- j'ai toujours au démarrage un pop up m'indiquant que le fichier csrss.exe ne peut être démarré en mode win32. Sality me l'avait infecté, et comme un crétin, je l'avais supprimé alors qu'il est vital..
J'ai donc demandé à un ami de m'envoyer son fichier csrss.exe mais apparemment ça ne fonctionne pas.. Faut dire qu'il ne tourne pas sous winxp pro SP1 comme moi, mais sous winxp pro SP2... ça joue ptet..
Vous en pensez quoi ? Ce fichier est indispensable ?
Merci pour tous vos conseils ! Ce forum est génial =)
Bonne soirée !
P.S. : Vi les partiels se sont pas trop mal passés enfin c'est tjs difficile de prédire ses résultats
Enfin heureusement, ils étaient déjà bien entamés quand ce virus est apparu ¨¨;
Reuu grougna
Ce n'est pas encore fini ...
Etape 0 :
Etape 1 :Télécharge la dernière version de Killbox -> http://www.downloads.subratam.org/KillBox.zip
Place le programme dans le répertoire qui te plaît (pas d'installation Windows)
- redémarre l'ordinateur en mode sans échec
- lance Pocket Killbox
--- choisis l'option Delete on Reboot
--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File --> Paste from Clipboard
* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.Code:C:\WINDOWS\system32\m2820cloefqc0.dll C:\WINDOWS\system32\dmuiext.dll C:\WINDOWS\system32\dq32gt.dll C:\WINDOWS\system32\gpr8l39u1.dll C:\WINDOWS\system32\ibpromon.dll C:\WINDOWS\system32\kcdmac.dll
Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
--- coche "Unregister .dll Before Deleting".
--- clique sur la croix blanche sur fond rouge (Delete File) :
- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder
Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.
Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/...ls/KillBox.htm
Etape 2 :Elimine les programmes suivants par Ajout/Suppression de programmes (siprésent) :
0mcamcap
Etape 3 :Démarrer > Exécuter et taper Services.msc puis OK
Choisir le mode "Etendu" (onglets inférieurs)
Grâce à la barre de défilement (à droite) rechercher le service suivant:
Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).Code:BitSec Command Service Windows File Indexing Service Network Monitor NtDIC Windows Update Manager
Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,
puis dérouler le Type de Démarrage pour le modifier en Désactivé
Cliquer sur Appliquer puis OK
Lancer Hijackthis, choisir Open the Misc.Tools section
la fenêtre "Configuration va s'ouvrir
cliquer sur (b]Delete a NT service...[/b]
la fenêtre "Delete a Windows NT service" va s'ouvrir
Entrer dans la zone de dialogue :
Note : assurez-vous de ne mettre d'espace, ni avant, ni après !Code:BitSec Command Service Windows File Indexing Service Network Monitor NtDIC Windows Update Manager
cliquer sur OK
Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.
Cliquer sur NO
Etape 4 :Relances Hijackthis :
Do a system scan only, coches les cases suivantes (si présentes, car certaines entrées ne devraient plus etre la) :
Fermes toutes les fenetres et cliques sur Fix checkedCode:R3 - URLSearchHook: (no name) - {E6273CC8-FB7B-AAFE-0972-F93AF62970C9} - (no file) R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\winsock\csrss.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\winsock\csrss.exe O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O23 - Service: BitSec(bitsec) (BitSec) - Unknown owner - C:\WINDOWS\system32\bitsec.exe (file missing) O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Q2F0aGFsYQ\command.exe O23 - Service: Windows File Indexing Service (FIS) - Unknown owner - C:\WINDOWS\System32\ntfs.exe (file missing) O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe O23 - Service: NtDIC(ntdic) (NtDIC) - Unknown owner - C:\WINDOWS\system32\icntrl.exe (file missing) O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe (file missing)
Etape 5 :Assures-toi d'avoir acces a tous les fichiers et dossiers :
- Ouvrez votre poste de travail.
- Menu "Outils", "Option des dossiers", onglet "Affichage" :
- Activez la case : "Afficher les fichiers et dossiers cachés"
- Désactivez la case : "Masquer les extensions des fichiers dont le type est connu"
- Désactivez la case : "Masquer les fichiers protégés du système d'exploitation"
- Cliquez sur "Appliquer".
Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.
Etape 6 :Enlever les fichiers malicieux :
Trouves et effaces les fichiers ou dossiers suivant (en gras) (si présent, car certains fichiers ne devraient plus apparaitre):
C:\WINDOWS\winsock\csrss.exe <-- le dossier complet, ATTENTION A NE PAS EFFACER LE FICHIER CSRSS.EXE SITUE DANS LE DOSSIER SYSTEM32 QUI EST LUI LEGITIME !!
C:\WINDOWS\System32\0mcamcap.exe <-- le fichier
C:\WINDOWS\bdoscandel.exe <-- le fichier
C:\WINDOWS\system32\bitsec.exe <-- le fichier
C:\WINDOWS\Q2F0aGFsYQ\command.exe <-- le dossier complet
C:\WINDOWS\System32\ntfs.exe <-- le fichier
C:\Program Files\Network Monitor\netmon.exe <-- le dossier complet
C:\WINDOWS\system32\icntrl.exe <-- le fichier
C:\WINDOWS\update\updmgr.exe <-- le dossier
C:\WINDOWS\system32\kernlx86.exe <-- le fichier
Etape 7 :Redémarre ton Pc en mode normal
Lance ATF-Cleaner (meme manip que dans le post précédent)
Etape 8 :Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
Bon courage et @ tout bientot grougnaPoste moi un nouveau rapport hijack, ainsi que celui de blacklight
:O Bein ça alors ! Lol le pop up csrss.exe a disparu et le répertoire winsock également °°y
Rofl on dirait que l'informatique n'a aucun secret pour toichapeau bas car je m'attendais à ce que tu me dises "bon tu trouves un ami qui a xp sp1 puis tu lui demandes son fichier" xD
Pour Killbox, je ne pouvais supprimer qu'un seul fichier à la fois mais ça tombait bien, car dans la liste indiquée je n'en avais qu'un ^.^
Pareil pour l'étape 5, je n'ai trouvé que 1 ou 2 fichiers YEah ^.^
Blacklight n'a rien trouvé on dirait enfin je poste quand même le log !
Bon bein je suis confus.. En 2 jours tu nettoies mon pc de fond en comble.. Je m'incline devant ton savoir cybernétiquequ'Aiur te bénisse °°y ENTARO ADUN EXECUTOR °°Y
Au fait, je dois refaire un scan Kaspersky pour être sûr que tout est clean ? lol
Le problème avec les virus, c'est que ça rend parano
Bonne nuit ! @+
Bonsoir grougna
Faut pas exagérer quand meme, je fais dans la limite de mes connaissances, et ca a l'air de suffire, mais il y a encore beaucoup de chose a apprendre, tout évolue tres vite, en tous cas, ca fait plaisir de t'aiderJe m'incline devant ton savoir cybernétique
Les pieces jointes ne sont pas encore validées, par contre, tu peux deja aller faire un petit scan en ligne chez Kaspersky, ca coute pas grand chose, et ca peut rassurer
Bonne soirée l'ami, je regarderai tes log avant de me coucher ou demain en me levant ou en rentrant du taf ..
Edit, tu m'as devancé !!
Au fait, je dois refaire un scan Kaspersky pour être sûr que tout est clean ?
Ok pour le scan ! Bein je dis surtout ça car tu expliques bien, tu décortiques bien les étapes à suivre, ça fait plaisir
Sinon j'ai plus trop de problèmes hormis sur ma page de démarrage, elle se met automatiquement sous ce nom au reboot "c:\secure32.html" °°y Enfin contrairement à il y a 2/3 jours, je peux la retirer donc ça pose déjà moins de problèmes : )
Bonne nuit !
Si tu peux repasser smitfraudfix avec l'option 1, je serais interessé d'en voir le rapport, il t'avait bien éliminer le fichier secure32.html hier ...
Bonne nuitée
Ca roule ! Et je mettrai également le rapport du scan Kaspersky que je viens de lancer !
Aaaah je suis déjà bien rassuré grâce à toi ! J'avais reformaté tout mon disque y'a à peine 2 mois et l'idée de réinstaller windows me barbait au plus haut point °_°;
Encore merci ! Bon je vais bouquiner le temps que Kaspersky fasse régner l'ordreA plus !
Huhu il vient de me trouver 17 virus, et 26 objets infectés et ça continue *-*VVVVVVVV
Mais pourquoi est-il aussi méchant ?! => PArcee QUeee Xddd .. J'ai crié victoire trop vite <°_°\ />
Au fait synthexe, un ami m'avait conseillé un programme nommé "tune up utilities", dans le même genre que cc cleaner, et il est vraiment génial ! si tu connais pas je te le conseille, y'a notamment une option "maintenance en 1 clic" qui nettoie et répare toute ta bdr en quelques secondes : ))
J'avais pas fait attention, et tu m'en avais parlé il me semble ... Il faut absolument que tu installe un Antivirus :
Télécharge Antivir ici : http://www.free-av.com/
Configure le comme indiqué sur le tutorial de Tesgaz : http://speedweb1.free.fr/frames2.php?page=tuto5
Tu peux bouquiner le très bon et très complet dossier de Futura sur la protection, et lorsque tu seras completement désinfecter il faudra absolument que tu mettes ton windows a jour, c'est indispensable pour etre moins inquiété par les malwares ...
Blacklight n'a effectivement rien trouvé, et c'est tres bien comme ca ...
Je regarderai les prochains rapports demain, mais on devrait toucher au bout bientot ...
Bonne niutée
Ok je vais essayer antivir
Malheureusement, je ne peux pas mettre mon windows à jour, car il y a une incompatibilité avec ma carte son ^^ J'ai été obligé de revenir sur le sp1 à cause de ça lol
Et puis en plus, je trouve le démarrage de windows sous sp1 beaucoup plus rapide que sous sp2 donc ça m'arrange
En fait, je crois que j'ai eu pas mal de problèmes de virus à cause de cette %¤!¤!% d'internet explorer, donc je vais installer firefox ou un autre navigateur ! J'utilisais la bagatelle de 4 antimalwares + pop up cop, ça m'a pas empêché de récupérer une tonne de malwares..
Je poste le résultat de Kaspersky + Smitfraud, puis je relance en mode sans échec pour supprimer les fichiers infectés manuellement et lancer l'option 2 de smitfraud
Et je vais en profiter pour installer antivir !
A plus
Hum tout compte fait je vais pas me hasarder à supprimer manuellement "notepad.exe" qui est infecté, donc je vais lancer le scan d'antivir en mode sans échec et mettre les fichiers infectés en quarantaine : ))
Sinon il a l'air sympa cet antivirus, mais il est bcp plus gourmand qu'avast en mémoire vive ^_^
Hey !
Finalement j'ai fait un scan avec Antivir et Kasperky en mode sans échec, et j'ai viré tous les fichiers infectés manuellement, mais comme Kaspersky me détectait des fichiers systèmes, j'ai pris la précaution de les sauver dans un zip.
Enfin tout marche donc à priori c'était des "faux" fichiers systèmes créés de toute pièce (d'ailleurs dans "propriétés" il manquait l'onglet version
Je poste les logs =)
J'ai aussi refait un scan avec ewido et smitfraudfix en mode 1 puis 2, je te mets le log du mode 1 mais à priori c'est bon !
J'espère qu'on approche de la fin lol J'aimerais pas me retrouver avec de nouveaux fichiers infectés si je me hasarde à refaire un scan en ligne Kaspersky omg °°y (j'ai fait une overdose de scans ce soir
Dsl pour le harcèlement aux rapports ! Zappe les précédents !!
@+
Bonjour grougna
pas trop revé de scans ?
Bon on continue ... (désolé)
Redémarre en mode sans echec.Repasse Look2Me-Destroyer.exe comme indiqué précedemment
- Lance KillBox
- choisis l'option Delete on Reboot
- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) (NE LA COLLE PAS)
- Dans killbox, clique sur File puis Paste from Clipboard
Code:C:\WINDOWS\System32\IRKED.DLL C:\WINDOWS\System32\k0080adued080.dll C:\WINDOWS\System32\mgdocs.dll C:\WINDOWS\System32\ooepro32.dll C:\WINDOWS\System32\p86slij718o.dll C:\WINDOWS\System32\rripxmib.dll C:\WINDOWS\System32\sxorprop.dll C:\WINDOWS\System32\uibui.dll C:\Program Files\prifjvxr.exe C:\WINDOWS\Q2F0aGFsYQ\command.exe C:\WINDOWS\System32\guard.tmp
- les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
- coche "Unregister .dll Before Deleting". IMPORTANT
- clique sur la croix blanche sur fond rouge (Delete File) :
- File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder
Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.
- Cliques sur Démarrer --> Exécuter
- Saisis : Services.msc puis OK
- Choisir le mode "Etendu" (onglets inférieurs)
- Grâce à la barre de défilement (à droite) rechercher le service suivant:
Code:Windows TCP/IP Socket Driver (winsck) wnkrn(wnkrn) (wnkrn)- Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).
- Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,
puis dérouler le Type de Démarrage pour le modifier en Désactivé- Cliquer sur Appliquer puis OK
- Lancer Hijackthis, choisir Open the Misc.Tools section
la fenêtre "Configuration" va s'ouvrir- Cliquer sur Delete a NT service...
la fenêtre "Delete a Windows NT service" va s'ouvrir- Entrer dans la zone de dialogue :
Note : assurez-vous de ne mettre d'espace, ni avant, ni après !Code:winsck wnkrn- Cliquer OK
- Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.
Cliquer NOEnlever les fichiers malicieux :
Trouves et effaces les fichiers ou dossiers suivant (en gras) (si présent, car certains fichiers ne devraient plus apparaitre):
Code:C:\WINDOWS\system32\kernlx86.exe <-- le fichier C:\WINDOWS\winsock\csrss.exe <-- le dossier complet C:\Program Files\prifjvxr.exe <-- le fichier c:\secure32.html <-- le fichierRedémarre en mode normalRelances Hijackthis :
Do a system scan only, coches les cases suivantes (si présentes, car certaines entrées ne devraient plus etre la) :
Fermes toutes les fenetres et cliques sur Fix checkedR1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [SysTray] C:\Program Files\prifjvxr.exe
O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - C:\WINDOWS\winsock\csrss.exe (file missing)
O23 - Service: wnkrn(wnkrn) (wnkrn) - Unknown owner - C:\WINDOWS\system32\kernlx86.e xe (file missing)
Télécharge CCleaner et installe le (attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe
-=Suppression des fichiers temporaires=-
- Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
- Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
- Clique sur Analyse
- Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
- Une fois le scan terminé, clique sur Lancer le Nettoyage
-=Suppression des incohérence du registre=-
- Clique sur l'icône Erreurs situé dans la marge à gauche.
- Puis clique sur Analyser les erreurs
- Patiente pendant que CCleaner scanne ton registre.
- Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
- Tu peux cliquer ensuite sur Corriger les erreurs.
- Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.
Refais moi un rapport hijackthis en mode normal et colle moi aussi le rapport de LookMeDestroyerVide le dossier C:\!killbox
vide également la quarantaine de Antivir ainsi que ta poubelle ...
Bon courage ...
Bonsoir Synthexe !
lol j'avais écrit un message énorme et ma page s'est actualisée omg j'ai plus de doigts °°y
Alors en fait, j'ai fait un scan Kaspersky en ligne, et il m'a trouvé seulement 4 fichiers infectés dans le cache d'IE, je les ai supprimé manuellement =)
Je referai un scan Bitdefender ce soir pour être sûr que je n'ai plus de fichiers infectés !
Concernant Killbox, il n'y avait aucun des fichiers dans la liste sur mon pc
Les entrées dans Hijackthis avaient l'air clean, il n'y avait aucune des entrées de la liste indiquée; j'ai juste supprimé 2 entrées à la fin car il y avait écrit "file missing" !
Sinon à propos de cc cleaner, j'ai juste retiré qq cases dans la rubrique avancé car j'aime bien que windows mémorise l'emplacement de mes fenêtres et je me sers souvent des raccourcis dans le menu démarrer
Voili, il me reste plus qu'à installer un autre navigateur que IE ! Firefox vaut le coup ou bien tu en as un autre à me conseiller ? =)
Tu crois que les antimalwares que j'avais précédemment (ad aware, xoftspy, spybot) + ewido, ça devrait suffire ? ^.^
En tout cas, je te remercie infiniment, tu as sauvé mon pc !
lol c'est mon ptit frère qui va s'éclater maintenant à faire 300 scans, puisqu'apparemment il a le même virus sur le pc des parents xDD haha bon courage xDD (jvais lui passer le lien de ce topic
A bientôt !
P.S. : héhé j'avais pas fait gaffe à ta signature ! Tu es fan de souchon ? ^<>^
Bonsoir grougna,
je laisse synthexe s'occuper de toi , je voudrai juste réagir sur un point.
Tu dis que tu as supprimé des lignes dans hijakcthis car c'était marqué (file missing) je te déconseille de refaire çà à l'avenir car parfois hiajckthis ne reconnait pas quelque chose de vital ( pour ne prendre qu'un exemple: les services d'avast! )
Je te conseille plutot de demander conseil avant d fixer quoique ce soit.
Voilà bonne continuation,
Igor
PS: poste un log hijackthis en mode normal, celui-la me semble etre fait en mode sasn échec.
Bonsoir grougna
Merci de ton intervention Igor ...
Je reprendrais tout ce qu'a dit Igor pour enfin espérer en finir avec ta superinfection :
Je partage completement sa vision des choses ...Tu dis que tu as supprimé des lignes dans hijakcthis car c'était marqué (file missing) je te déconseille de refaire çà à l'avenir car parfois hiajckthis ne reconnait pas quelque chose de vital ( pour ne prendre qu'un exemple: les services d'avast! )
Je te conseille plutot de demander conseil avant d fixer quoique ce soit.
Voilà bonne continuation,
Igor
PS: poste un log hijackthis en mode normal, celui-la me semble etre fait en mode sasn échec.
donc, prochaine étape, un rapport hijackthis en mode normal
Firefox ou Opera sont de tres bon navigateur alternatif, Firefox est extremement développé au niveau des plugs, donc tres interessant, je te donnerai un lien pour une version pré-sécurisé quand on en aura fini ...
Oui, trop de protections tue la protection ... cela suffit, l'important est les habitudes de surf, les sites fréquentés, ne jamais cliquer sur des liens bizarres, ne jamais ouvrir de mail venant de personnes inconnus, etc ....Tu crois que les antimalwares que j'avais précédemment (ad aware, xoftspy, spybot) + ewido, ça devrait suffire ? ^.^
Bonne soirée grougna, j'espere qu'on c'est définitivement débarrassé de tes bestioles ...
Bonsoir igor !
Erf ok je ferai plus attention avec ce programme à l'avenir, je pensais à tort qu'il était infaillible
Lol une version pré-sécurisée ? °°y Comme tu veux, je veux pas non plus abuser lol, je peux tjs installer la version classique (d'ailleurs le fichier d'installation est sur mon bureau), par contre pour le configurer, si c'est nécessaire, vos avis seraient plus qu'utiles puisque la plupart des virus que j'ai récupéré, c'était via mon navigateur : (
Ok donc finalement il vaut mieux rester en surfant sur les "sentiers balisés" si j'ai bien compris
Je pense que après le scan Bitdefender que je fais en ce moment, mon pc sera aussi nickel que la fourchette saillante au dessus d'une marmite pleine de mir vaisselle, étendard purifié face à la colère graisseuse (i'm sorry...)O_O;;;
Pour le moment, il n'a trouvé que 4 fichiers infectés et il les a tous supprimés ! YEhaa !!
A plus !
P.S. : Lol de toute façon, les 2 entrées sur Hijackthis que j'ai viré sont réapparues à la fin xD what the hell ?
Yess, ton rapport hijackthis est propre, ultra-propre meme, je pense qu'on a atteint le bout, mais rien n'est sur, il y a des infections qui réapparaissent apres quelques temps, soit attentifs aux dysfonctionnements de ton Pc, et s'il y en a, reviens nous voir.
Une derniere chose, on va créer un point de restauration propre :
Voila le lien pour FireFoxPortableSécu (FFPS) développé par grenouille : http://iportable.tuxfamily.org/dl/Fi...rtableSecu.exeEt voila, un nouveau point de restauration qui est a priori propre
- Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
- Coche la case "Désactiver le système de restauration..."
- Redémarre l'ordinateur
- Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
- Décoche la case "Désactiver le système de restauration..."
Teste le, a mon avis, tu n'en seras pas decu ...
Et lis et relis, bien evidemment le très bon et très complet dossier de Futura sur la protection d'un ordinateur ...
Bonne continuation et @u plaisir
(Ne joue pas trop a l'apprenti sorcier avec ton Pc, fais les choses en pleine conscience des conséquences éventuelles)
Ok Synthexe, je vais installer cette version de Firefox !! Thx ! Heu je dois le configurer d'une certaine façon ou je laisse les paramètres de base ?
J'aurais juste une dernière question : c'est normal si quand je vire ces entrées dans Hijackthis, elles réapparaissent alors que j'ai désinstallé les programmes correspondant ?
=> " O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Program Files\Fichiers communs\InstallShield\Driver\1 1\Intel 32\IDriverT.exe (file missing)
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx1\PXAgent.exe" -f (file missing) "
Bon ben merci beaucoup pour votre sympathie, pour tout le temps que vous m'avez consacré, et vrmt désolé pour la réaction de l'intéressé un peu plus haut, je m'y attendais pas.. (si qq1 pouvait censurer son message edit => SES messages et ma réaction, ça rendrait le tout plus lisible et moins laid
A plus !
Cette discussion a été nettoyée des messages inutiles et déplaisants d'un individu. Bien entendu les réponses qui lui ont été faites n'avaient plus lieu de rester non plus, mais merci à ceux qui ont exprimé leur réprobation.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Bonjour grougna
Il est deja superconfiguré, c'estpour ca qu'il est orienté sécurité ...Ok Synthexe, je vais installer cette version de Firefox !! Thx ! Heu je dois le configurer d'une certaine façon ou je laisse les paramètres de base ?
C'est pour ca que tu as eu une remarque d'Igor, il ne faut pas fixer n'importe quoiJ'aurais juste une dernière question : c'est normal si quand je vire ces entrées dans Hijackthis, elles réapparaissent alors que j'ai désinstallé les programmes correspondant ?
=> " O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Program Files\Fichiers communs\InstallShield\Driver\1 1\Intel 32\IDriverT.exe (file missing)
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx1\PXAgent.exe" -f (file missing) "
Bonne continuation, n'oublie pas d'etre attentif aux dysfonctionnements
Grougna, pour une sécuritée renforcée avec Firefox, tu peux utiliser le plugin NoScript (Celui-ci devrait passer...).
Bonjour tout le monde =)
ah ok bein c'est parfait alors, je l'installe de ce pas
Erf ok pour les clefs sous Hijackthis, dommage xD(lol omg je suis devenu maniaque de la propreté
Ok P.a.Z.u. mais tu sais s'il est compatible avec cette version de Firefox ? http://iportable.tuxfamily.org/dl/Fi...rtableSecu.exe
lol si ça se trouve il est déjà installé sous cette version ^.^ Je te tiens au courant !
@+
Coucou grougna
C'est exactement ca, il est deja installé dans cette version qui comporte nombre de plugs utiles a la sécurité.
Bonne journée, et @u plaisir
