Une petite saloperie s'est installée sur mon PC. Elle se manifeste par une
page d'accueil sur le navigateur qui pointe vers un moteur de recherche
"Blazefind" et par une icône "search the web" dans la barre des tâches. Je
n'arrive pas à m'en débarasser...
Après avoir essayer Ad-aware (en vain), je me retrouve avec un message
d'erreur au démarrage. Il ne trouve pas le fichier bridge.dll (dont j'ignore
tout et qui apparaît dans le log ci-dessous).
Joke0 m'a passé HijackThis et m'a conseillé de poster le rapport ici pour
demander conseil sur la marche à suivre.
Merci donc pour vos conseils sur la marche à suivre...
François
==============================================
Logfile of HijackThis v1.98.0
Scan saved at 11:42:30, on 04/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Excessivement louches. Tu peux en faire des copies et me les envoyer zippées? Tu peux aussi les faire scanner ici (dans le zip c'est plus rapide): <URL:http://www.kaspersky.com/fr/scanforvirus> (donne le diagnostic)
Tu peux tous les cocher, sauf bydamix.exe sur lequel j'ai un doute.
C:Program FilesWindowsSAomniscient.exe
Créé par Blazefind. Il faudra virer le répertoire windowsSA
Ensuite: Ferme obligatoirement Internet Explorer et Outlook Express, puis clique sur le bouton 'Fix checked'. Redémarre l'ordinateur en mode sans échec¹ et vérifie que ce que tu as coché est bien parti. Si ce n'est pas le cas, republie un rapport dans le fil que tu as commencé.
N'oublie pas de supprimer le répertoire windowsSA et le fichier C:WindowsSystem32wsaupdater.exe.
[1] : touche F8 au tout début du chargement de win, choix "safe mode" ou "mode sans échec".
-- joke0
Salut,
Spybot S&D est aussi un anti-spyware assez puissant:
<URL:http://www.safer-networking.org/index.php?lang=fr>
Excessivement louches. Tu peux en faire des copies et me les
envoyer zippées? Tu peux aussi les faire scanner ici (dans le
zip c'est plus rapide):
<URL:http://www.kaspersky.com/fr/scanforvirus>
(donne le diagnostic)
Tu peux tous les cocher, sauf bydamix.exe sur lequel j'ai un doute.
C:Program FilesWindowsSAomniscient.exe
Créé par Blazefind. Il faudra virer le répertoire windowsSA
Ensuite: Ferme obligatoirement Internet Explorer et Outlook
Express, puis clique sur le bouton 'Fix checked'. Redémarre
l'ordinateur en mode sans échec¹ et vérifie que ce que tu as
coché est bien parti. Si ce n'est pas le cas, republie un
rapport dans le fil que tu as commencé.
N'oublie pas de supprimer le répertoire windowsSA et le fichier
C:WindowsSystem32wsaupdater.exe.
[1] : touche F8 au tout début du chargement de win, choix "safe
mode" ou "mode sans échec".
Excessivement louches. Tu peux en faire des copies et me les envoyer zippées? Tu peux aussi les faire scanner ici (dans le zip c'est plus rapide): <URL:http://www.kaspersky.com/fr/scanforvirus> (donne le diagnostic)
Tu peux tous les cocher, sauf bydamix.exe sur lequel j'ai un doute.
C:Program FilesWindowsSAomniscient.exe
Créé par Blazefind. Il faudra virer le répertoire windowsSA
Ensuite: Ferme obligatoirement Internet Explorer et Outlook Express, puis clique sur le bouton 'Fix checked'. Redémarre l'ordinateur en mode sans échec¹ et vérifie que ce que tu as coché est bien parti. Si ce n'est pas le cas, republie un rapport dans le fil que tu as commencé.
N'oublie pas de supprimer le répertoire windowsSA et le fichier C:WindowsSystem32wsaupdater.exe.
[1] : touche F8 au tout début du chargement de win, choix "safe mode" ou "mode sans échec".
-- joke0
joke0
Salut,
[suite à réponse par mail:]
Homme_des_Neiges:
C:WINDOWSnetdz.exe C:WINDOWScrag.exe
Je ne vois pas ces deux fichiers (alors que l'option est d'"afficher les fichiers cachés").
Redémarre en mode sans échec (comme expliqué avant), et recommence un rapport hijackthis. les fichiers ci-dessus ont peut-être des noms qui changent à chaque redémarrage.
C:WINDOWSSystem32bydamix.exe
Ne veut pas se laisser zipper !
Car il est en cours d'utilisation probablement. Recommence aussi en mode sans échec.
C:WINDOWSSystem32NDrv.exe
Ci-joint dans le fichier zip. L'antivirus ci-dessous n'a rien trouvé dans ce fichier.
Il est suspect et bizarrement lourd (328 Ko), je le fais suivre à qq labos antivirus.
-- joke0
Salut,
[suite à réponse par mail:]
Homme_des_Neiges:
C:WINDOWSnetdz.exe
C:WINDOWScrag.exe
Je ne vois pas ces deux fichiers (alors que l'option est
d'"afficher les fichiers cachés").
Redémarre en mode sans échec (comme expliqué avant), et
recommence un rapport hijackthis. les fichiers ci-dessus ont
peut-être des noms qui changent à chaque redémarrage.
C:WINDOWSSystem32bydamix.exe
Ne veut pas se laisser zipper !
Car il est en cours d'utilisation probablement. Recommence aussi
en mode sans échec.
C:WINDOWSSystem32NDrv.exe
Ci-joint dans le fichier zip. L'antivirus ci-dessous n'a rien
trouvé dans ce fichier.
Il est suspect et bizarrement lourd (328 Ko), je le fais suivre
à qq labos antivirus.
Je ne vois pas ces deux fichiers (alors que l'option est d'"afficher les fichiers cachés").
Redémarre en mode sans échec (comme expliqué avant), et recommence un rapport hijackthis. les fichiers ci-dessus ont peut-être des noms qui changent à chaque redémarrage.
C:WINDOWSSystem32bydamix.exe
Ne veut pas se laisser zipper !
Car il est en cours d'utilisation probablement. Recommence aussi en mode sans échec.
C:WINDOWSSystem32NDrv.exe
Ci-joint dans le fichier zip. L'antivirus ci-dessous n'a rien trouvé dans ce fichier.
Il est suspect et bizarrement lourd (328 Ko), je le fais suivre à qq labos antivirus.
-- joke0
Homme_des_Neiges
O4 - HKCU..Run: [Utar] C:Documents and SettingsFrançoisApplication Dataoors.exe
C'est quoi ça?
Aucune idée.
J'ai suivi tes instructions à la lettre. La plupart des fichiers ont été éliminés, sauf
reviennent spontanément après avoir été retirées... (quand je fais plusieurs scans de suite).
Ci-dessous un nouveau log après la première tentative :
Logfile of HijackThis v1.98.0 Scan saved at 14:15:55, on 04/07/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
reviennent spontanément après avoir été retirées... (quand je fais plusieurs
scans de suite).
Ci-dessous un nouveau log après la première tentative :
Logfile of HijackThis v1.98.0
Scan saved at 14:15:55, on 04/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
reviennent spontanément après avoir été retirées... (quand je fais plusieurs scans de suite).
Ci-dessous un nouveau log après la première tentative :
Logfile of HijackThis v1.98.0 Scan saved at 14:15:55, on 04/07/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Il faut fermer IE et OE pour pouvoir les virer. Le faire depuis le mode sans échec peut aider aussi.
-- joke0
joke0
Salut,
Homme_des_Neiges:
C:WINDOWSSystem32bydamix.exe
KAV diagnostique: TrojanDownloader.Win32.Agent.ae
Cette bestiole télécharge une autre saloperie: TrojanDownloader.Win32.Agent.ab qui elle même télécharge l'adware "180 solutions". Je ne sais pas si c'est ce que tu as sûr ton PC, mais ça n'y ressemble pas.
-- joke0
Salut,
Homme_des_Neiges:
C:WINDOWSSystem32bydamix.exe
KAV diagnostique:
TrojanDownloader.Win32.Agent.ae
Cette bestiole télécharge une autre saloperie:
TrojanDownloader.Win32.Agent.ab qui elle même télécharge
l'adware "180 solutions". Je ne sais pas si c'est ce que tu as
sûr ton PC, mais ça n'y ressemble pas.
Cette bestiole télécharge une autre saloperie: TrojanDownloader.Win32.Agent.ab qui elle même télécharge l'adware "180 solutions". Je ne sais pas si c'est ce que tu as sûr ton PC, mais ça n'y ressemble pas.
-- joke0
Homme_des_Neiges
C:WINDOWSnetdz.exe C:WINDOWScrag.exe
Fais CTRL + ALT + SUPPR et arrête le processus de ces 2 là. Ensuite tu les zippes (pour analyse) et tu les supprimes.
En mode sans échec ou en mode normal, ces deux fichiers apparaissent bien dans la liste des processus, mais les fichiers restent invisibles, même après arrêt du processus.
C:Program FilesiTunesiTunesHelper.exe C'est un spyware de iTunes ça non?
Peut-être. J'ai essayé de désinstaller iTunes mais il m'a dit "accès interdit"... :o(
J'ai viré toutes les entrées que tu as signalées.
O4 - HKLM..Run: [crag.exe] C:WINDOWScrag.exe Tu es sûr que tu as redémarré en mode sans échec?
Fais CTRL + ALT + SUPPR et arrête le processus de ces 2 là.
Ensuite tu les zippes (pour analyse) et tu les supprimes.
En mode sans échec ou en mode normal, ces deux fichiers apparaissent bien
dans la liste des processus, mais les fichiers restent invisibles, même
après arrêt du processus.
C:Program FilesiTunesiTunesHelper.exe
C'est un spyware de iTunes ça non?
Peut-être. J'ai essayé de désinstaller iTunes mais il m'a dit "accès
interdit"... :o(
J'ai viré toutes les entrées que tu as signalées.
O4 - HKLM..Run: [crag.exe] C:WINDOWScrag.exe
Tu es sûr que tu as redémarré en mode sans échec?
Fais CTRL + ALT + SUPPR et arrête le processus de ces 2 là. Ensuite tu les zippes (pour analyse) et tu les supprimes.
En mode sans échec ou en mode normal, ces deux fichiers apparaissent bien dans la liste des processus, mais les fichiers restent invisibles, même après arrêt du processus.
C:Program FilesiTunesiTunesHelper.exe C'est un spyware de iTunes ça non?
Peut-être. J'ai essayé de désinstaller iTunes mais il m'a dit "accès interdit"... :o(
J'ai viré toutes les entrées que tu as signalées.
O4 - HKLM..Run: [crag.exe] C:WINDOWScrag.exe Tu es sûr que tu as redémarré en mode sans échec?
En mode sans échec ou en mode normal, ces deux fichiers apparaissent bien dans la liste des processus, mais les fichiers restent invisibles, même après arrêt du processus.
Alors ouvre une fenêtre de commande (Démarrer > Exécuter, puis "cmd.exe") et fait: del C:WINDOWSnetdz.exe del C:WINDOWScrag.exe
Running processes:
Les processus cités au-dessus n'apparaissent pas. C'est le rapport normal ?
Tu as essayé CWShredder ? http://joke0.free.fr/ht!.html#CWS je crois qu'il le vire sans problème.
Méthode alternative: Ouvre le registre via regedit.exe. Cherche les occurences de 4A8DADD4-5A25-4D41-8599-CB7458766220 (IE doit être fermé) et supprime-les. C'est un téléchargeur de logiciel publicitaire.
Regarde aussi si aux clefs de registre suivantes: - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices tu n'aurais pas des entrées du type : __NS_Service
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRoot tu n'aurais pas: LEGACY___NS_Service
Si oui, supprimes-les dans le panneau de droite.
-- joke0
Salut,
Homme_des_Neiges:
En mode sans échec ou en mode normal, ces deux fichiers
apparaissent bien dans la liste des processus, mais les
fichiers restent invisibles, même après arrêt du processus.
Alors ouvre une fenêtre de commande (Démarrer > Exécuter, puis
"cmd.exe") et fait:
del C:WINDOWSnetdz.exe
del C:WINDOWScrag.exe
Running processes:
Les processus cités au-dessus n'apparaissent pas. C'est le
rapport normal ?
Tu as essayé CWShredder ?
http://joke0.free.fr/ht!.html#CWS
je crois qu'il le vire sans problème.
Méthode alternative:
Ouvre le registre via regedit.exe. Cherche les occurences de
4A8DADD4-5A25-4D41-8599-CB7458766220
(IE doit être fermé) et supprime-les.
C'est un téléchargeur de logiciel publicitaire.
Regarde aussi si aux clefs de registre suivantes:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
tu n'aurais pas des entrées du type : __NS_Service
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRoot
tu n'aurais pas: LEGACY___NS_Service
En mode sans échec ou en mode normal, ces deux fichiers apparaissent bien dans la liste des processus, mais les fichiers restent invisibles, même après arrêt du processus.
Alors ouvre une fenêtre de commande (Démarrer > Exécuter, puis "cmd.exe") et fait: del C:WINDOWSnetdz.exe del C:WINDOWScrag.exe
Running processes:
Les processus cités au-dessus n'apparaissent pas. C'est le rapport normal ?
Tu as essayé CWShredder ? http://joke0.free.fr/ht!.html#CWS je crois qu'il le vire sans problème.
Méthode alternative: Ouvre le registre via regedit.exe. Cherche les occurences de 4A8DADD4-5A25-4D41-8599-CB7458766220 (IE doit être fermé) et supprime-les. C'est un téléchargeur de logiciel publicitaire.
Regarde aussi si aux clefs de registre suivantes: - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices tu n'aurais pas des entrées du type : __NS_Service
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRoot tu n'aurais pas: LEGACY___NS_Service
Si oui, supprimes-les dans le panneau de droite.
-- joke0
joke0
Salut,
joke0:
C:WINDOWSSystem32NDrv.exe
Ci-joint dans le fichier zip. L'antivirus ci-dessous n'a rien trouvé dans ce fichier.
Il est suspect et bizarrement lourd (328 Ko), je le fais suivre à qq labos antivirus.
C'est un logiciel publicitaire: not-a-virus:AdvWare.PurityScan.m
Bon débarras donc.
-- joke0
Salut,
joke0:
C:WINDOWSSystem32NDrv.exe
Ci-joint dans le fichier zip. L'antivirus ci-dessous n'a rien
trouvé dans ce fichier.
Il est suspect et bizarrement lourd (328 Ko), je le fais
suivre à qq labos antivirus.
C'est un logiciel publicitaire:
not-a-virus:AdvWare.PurityScan.m
Ci-joint dans le fichier zip. L'antivirus ci-dessous n'a rien trouvé dans ce fichier.
Il est suspect et bizarrement lourd (328 Ko), je le fais suivre à qq labos antivirus.
C'est un logiciel publicitaire: not-a-virus:AdvWare.PurityScan.m
Bon débarras donc.
-- joke0
Homme_des_Neiges
C:WINDOWSSystem32bydamix.exe
KAV diagnostique: TrojanDownloader.Win32.Agent.ae
J'ai fait une mise à jour de Norton Antivirus et je l'ai lancé. Il a trouvé deux virus "download trojan"... J'aurais peut dû commencer par là ! Mais apparemment la Bête est encore vivante...
C:WINDOWSSystem32bydamix.exe
KAV diagnostique:
TrojanDownloader.Win32.Agent.ae
J'ai fait une mise à jour de Norton Antivirus et je l'ai lancé. Il a trouvé
deux virus "download trojan"... J'aurais peut dû commencer par là ! Mais
apparemment la Bête est encore vivante...
J'ai fait une mise à jour de Norton Antivirus et je l'ai lancé. Il a trouvé deux virus "download trojan"... J'aurais peut dû commencer par là ! Mais apparemment la Bête est encore vivante...
Homme_des_Neiges
Alors ouvre une fenêtre de commande (Démarrer > Exécuter, puis "cmd.exe") et fait: del C:WINDOWSnetdz.exe del C:WINDOWScrag.exe
Il ne les trouve pas.
Running processes:
Les processus cités au-dessus n'apparaissent pas. C'est le rapport normal ?
Oui. En mode sans échec.
Tu as essayé CWShredder ?
Oui. Il ne trouve rien.
Ouvre le registre via regedit.exe. Cherche les occurences de 4A8DADD4-5A25-4D41-8599-CB7458766220
Il a trouvé une clef, que j'ai supprimée.
Dans PROTOCOLS, il y a un répertoire icoo qui contient deux lignes, dont une avec la clé en question. Puis-je virer le répertoire ?
Regarde aussi si aux clefs de registre suivantes: - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices tu n'aurais pas des entrées du type : __NS_Service
Il y a un repertoire __NS_Service_3. 7 lignes dans la partie droite de l'écran. Faut-il virer tout c qu'il contient ?
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRoot tu n'aurais pas: LEGACY___NS_Service
idem avec LEGACY___NS_3. Deux lignes dans la partie droite de l'écran. On vire tout ?
Merci. J'ai l'impression qu'on avance...
Alors ouvre une fenêtre de commande (Démarrer > Exécuter, puis
"cmd.exe") et fait:
del C:WINDOWSnetdz.exe
del C:WINDOWScrag.exe
Il ne les trouve pas.
Running processes:
Les processus cités au-dessus n'apparaissent pas. C'est le
rapport normal ?
Oui. En mode sans échec.
Tu as essayé CWShredder ?
Oui. Il ne trouve rien.
Ouvre le registre via regedit.exe. Cherche les occurences de
4A8DADD4-5A25-4D41-8599-CB7458766220
Il a trouvé une clef, que j'ai supprimée.
Dans PROTOCOLS, il y a un répertoire icoo qui contient deux lignes, dont une
avec la clé en question. Puis-je virer le répertoire ?
Regarde aussi si aux clefs de registre suivantes:
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
tu n'aurais pas des entrées du type : __NS_Service
Il y a un repertoire __NS_Service_3.
7 lignes dans la partie droite de l'écran.
Faut-il virer tout c qu'il contient ?
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRoot
tu n'aurais pas: LEGACY___NS_Service
idem avec LEGACY___NS_3. Deux lignes dans la partie droite de l'écran.
On vire tout ?
Alors ouvre une fenêtre de commande (Démarrer > Exécuter, puis "cmd.exe") et fait: del C:WINDOWSnetdz.exe del C:WINDOWScrag.exe
Il ne les trouve pas.
Running processes:
Les processus cités au-dessus n'apparaissent pas. C'est le rapport normal ?
Oui. En mode sans échec.
Tu as essayé CWShredder ?
Oui. Il ne trouve rien.
Ouvre le registre via regedit.exe. Cherche les occurences de 4A8DADD4-5A25-4D41-8599-CB7458766220
Il a trouvé une clef, que j'ai supprimée.
Dans PROTOCOLS, il y a un répertoire icoo qui contient deux lignes, dont une avec la clé en question. Puis-je virer le répertoire ?
Regarde aussi si aux clefs de registre suivantes: - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices tu n'aurais pas des entrées du type : __NS_Service
Il y a un repertoire __NS_Service_3. 7 lignes dans la partie droite de l'écran. Faut-il virer tout c qu'il contient ?
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRoot tu n'aurais pas: LEGACY___NS_Service
idem avec LEGACY___NS_3. Deux lignes dans la partie droite de l'écran. On vire tout ?