help virus

Le
chris
Bonjour,
depuis quelques temps, je suis envahi d'écrans de pub, style des jeux de
casino, video zapping, etc.Je sais qu'il s'agit de spyware que j'ai
essayé d'éradiquer, mais sans succès.J'ai scanné avec spybot qui m'a
trouvé pas mal de bebettes, et que j'ai fixé
Mais systematiquement, les casinos et video zapping reviennent sans
cesseLe , ou les logiciels sont bien installéDans le cas du "
casino", ça se manifeste sous la forme de microsoft office 2000 qui essaye de
s'installer.j'annule à repetition jusqu'à ce que ça se calme, mais j'ai
ça en continu
J'ai lu qu'en scannant avec hijackThis, et à condition que quelqu'un
specialiste de la chose puisse decrypter le rapport qui en ressort, il était
possible de supprimer manuellement les steps qui sont corrompus :
Alors je tente l'affaire en demandant à une bonne âme d'être assez sympa
pour décrypter le rapport suivant, et me dire ce qu'il y a lieu de faire ou
de supprimer..

Un gros merci d'avance quelque soit le résultat :
Chris :

Le rapport HijackThis :

StartupList report, 15/03/2006, 16:44:12
StartupList version: 1.52.2
Started from : C:DOCUME~1CHRIST~1LOCALS~1TempRépertoire temporaire 1
pour hijackthis[1].zipHijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==

Running processes:

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32driversCDAC11BA.EXE
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:WINDOWSSystem32GEARSEC.EXE
C:Program FilesFichiers communsMicrosoft SharedVS7DEBUGMDM.EXE
C:Program FilesNorton AntiVirusavapsvc.exe
C:WINDOWSsystem32slserv.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsSymantec SharedSecurity CenterSymWSC.exe
C:WINDOWSExplorer.EXE
C:Program FilesQuickTimeqttask.exe
C:WINDOWSSystem32mszoxfj.exe
C:WINDOWSsystem32atiptaxx.exe
C:Program FilesMessengerPlus! 3MsgPlus.exe
C:Program FilesSlySoftAnyDVDAnyDVD.exe
C:Program FilesiTunesiTunesHelper.exe
C:PROGRA~1MESSAG~1Demon.exe
C:Program FileseBayeBay Toolbar2eBayTBDaemon.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:PROGRA~1WANADOOCnxMon.exe
C:Program FilesWanadootaskbaricon.exe
C:Program FilesJavajre1.5.0_06binjusched.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesSAGEMSAGEM F@st800dslmon.exe
C:Program FilesiPodbiniPodService.exe
C:Program FilesWanadooEspaceWanadoo.exe
C:Program FilesWanadooComComp.exe
C:Program FilesWanadooWatch.exe
C:Program FilesInternet Exploreriexplore.exe
C:DOCUME~1CHRIST~1LOCALS~1TempRépertoire temporaire 1 pour
hijackthis[1].zipHijackThis.exe
C:Program FilesMessengermsmsgs.exe

--

Listing of startup folders:

Shell folders Common Startup:
[C:Documents and SettingsAll UsersMenu DémarrerProgrammesDémarrage]
DSLMON.lnk = ?

--

Checking Windows NT UserInit:

[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
UserInit = C:WINDOWSsystem32userinit.exe,

--

Autorun entries from Registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun

SystemTray = SysTray.Exe
ccRegVfy = "C:Program FilesFichiers communsSymantec SharedccRegVfy.exe"
NvCplDaemon = RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
QuickTime Task = "C:Program FilesQuickTimeqttask.exe" -atboottime
wvnpktyrjqz = C:WINDOWSSystem32mszoxfj.exe
Easy-PrintToolBox = C:Program FilesCanonEasy-PrintToolBoxBJPSMAIN.EXE
/logon
AtiPTA = atiptaxx.exe
MessengerPlus3 = "C:Program FilesMessengerPlus! 3MsgPlus.exe"

--

Autorun entries from Registry:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun

CTFMON.EXE = C:WINDOWSsystem32ctfmon.exe

--

Shell & screensaver key from C:WINDOWSSYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:WINDOWSSystem32ssmarque.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU..Policies: Shell=*Registry key not found*
HKLM..Policies: Shell=*Registry value not found*

--


Enumerating Browser Helper Objects:

(no name) - C:Program FileseBayeBay Toolbar2eBayTB.dll -
{22D8E815-4A5E-4DFB-845E-AAB64207F5BD}
(no name) - F:Spybot - Search & DestroySDHelper.dll -
{53707962-6F74-2D53-2644-206D7942484F}
(no name) - (no file) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}
(no name) - C:Program FilesJavajre1.5.0_06binssv.dll -
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - C:Program FilesMSN AppsST1.03.0000.1005en-xustmain.dll -
{9394EDE7-C8B5-483E-8773-474BF36AF6E4}
(no name) - c:program filesgooglegoogletoolbar1.dll -
{AA58ED58-01DD-4d91-8333-CF10577473F7}
(no name) - C:Program FilesMSN AppsMSN ToolbarMSN
Toolbar1.02.5000.1021frmsntb.dll - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}
NAV Helper - C:Program FilesNorton AntiVirusNavShExt.dll -
{BDF3E430-B101-42AD-A544-FADC6B084872}

--

Enumerating Task Scheduler jobs:

Démarrage du programme de réglages.job
Planificateur pour la collecte de données PCHealth.job
Rappel de la vidéo.job
SBRegReminder.job
Rappel d'expiration de la désinstallation.job
Norton AntiVirus - Analyser mon ordinateur.job
Symantec NetDetect.job

--

Enumerating Download Program Files:

[{2A3DFC59-8A87-49A1-85D1-42903410911F}]
InProcServer32 = C:WINDOWSsystem32egaccess4_1058.dll
CODEBASE = http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1058_XP.cab

[{39EA2F6F-3F50-4F58-9C63-4B3D53B0926E}]
InProcServer32 = C:WINDOWSeg_auth_1049.dll
CODEBASE =
http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1049_FR_XP.cab

[{6AA85413-165C-4200-8154-71166077B22E}]
InProcServer32 = C:WINDOWSsystem32sysiasvc32.dll
CODEBASE = http://scripts.downloadv3.com/binaries/IA/sysiasvc32_FR_XP.cab

[{87C1805D-C5AE-4455-AB39-E245BB516136}]
InProcServer32 = C:WINDOWSsystem32egaccess4_1059.dll
CODEBASE = http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1059_XP.cab

[{8B3B8135-9DAA-40E7-8941-962795F9C1CB}]
InProcServer32 = C:WINDOWSsystem32syswbsvc32.dll
CODEBASE = http://scripts.downloadv3.com/binaries/IA/syswbsvc32_FR_XP.cab

[{8D8BAF56-B581-4B90-A549-C4AC6B03F1BB}]
InProcServer32 = C:WINDOWSsystem32EGDACCESS_1074.dll
CODEBASE =
http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1074_XP.cab

[{B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13}]
InProcServer32 = C:WINDOWSsystem32sysinetsvc32.dll
CODEBASE = http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_FR_XP.cab

[{BA749BC1-143E-430D-B1DA-1D2AF67A3658}]
InProcServer32 = C:WINDOWSsystem32EGDACCESS_1069.dll
CODEBASE =
http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1069_XP.cab

[{BE5A7132-329F-4319-B781-2A83BFE51534}]
InProcServer32 = C:WINDOWSeg_auth_1045.dll
CODEBASE =
http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1045_FR_XP.cab

[Shockwave Flash Object]
InProcServer32 = C:WINDOWSsystem32MacromedFlashFlash8.ocx
CODEBASE =
http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[{D8B94E9A-A34B-4253-BF48-C7CB7F2CFDB0}]
InProcServer32 = C:WINDOWSeg_auth_1046.dll
CODEBASE =
http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1046_FR_XP.cab

--

Enumerating ShellServiceObjectDelayLoad items:

UPnPMonitor: C:WINDOWSsystem32upnpui.dll
PostBootReminder: C:WINDOWSsystem32SHELL32.dll
CDBurn: C:WINDOWSsystem32SHELL32.dll
WebCheck: *Registry key not found*
SysTray: C:WINDOWSSystem32stobject.dll

--
End of report, 7 994 bytes
Report generated in 0,060 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Claude LaFrenière
Le #1419804
Bonjour *chris* :


J'ai lu qu'en scannant avec hijackThis, et à condition que quelqu'un
specialiste de la chose puisse decrypter le rapport qui en ressort, il était
possible de supprimer manuellement les steps qui sont corrompus :
Alors je tente l'affaire en demandant à une bonne âme d'être assez sympa
pour décrypter le rapport suivant, et me dire ce qu'il y a lieu de faire ou
de supprimer..


OK, je regarde ça et te donne la réponse bientôt.

A+

:)


--
Claude LaFrenière [MVP] :-{)

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

DeepSpeeD
Le #1419803
chris a rédigé
Bonjour,
depuis quelques temps, je suis envahi d'écrans de pub, style des jeux de
casino, video zapping, etc..........Je sais qu'il s'agit de spyware que j'ai
essayé d'éradiquer, mais sans succès....J'ai scanné avec spybot qui m'a
trouvé pas mal de bebettes, et que j'ai fixé......
Mais systematiquement, les casinos et video zapping reviennent sans
cesse...Le , ou les logiciels sont bien installé......Dans le cas du "
casino", ça se manifeste sous la forme de microsoft office 2000 qui essaye de
s'installer.......j'annule à repetition jusqu'à ce que ça se calme, mais j'ai
ça en continu...
J'ai lu qu'en scannant avec hijackThis, et à condition que quelqu'un
specialiste de la chose puisse decrypter le rapport qui en ressort, il était
possible de supprimer manuellement les steps qui sont corrompus :
Alors je tente l'affaire en demandant à une bonne âme d'être assez sympa
pour décrypter le rapport suivant, et me dire ce qu'il y a lieu de faire ou
de supprimer..

Un gros merci d'avance quelque soit le résultat :
Chris :

Le rapport HijackThis :

StartupList report, 15/03/2006, 16:44:12
StartupList version: 1.52.2
Started from : C:DOCUME~1CHRIST~1LOCALS~1TempRépertoire temporaire 1
pour hijackthis[1].zipHijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
================================================= >
Running processes:

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32driversCDAC11BA.EXE
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:WINDOWSSystem32GEARSEC.EXE
C:Program FilesFichiers communsMicrosoft SharedVS7DEBUGMDM.EXE
C:Program FilesNorton AntiVirusnavapsvc.exe
C:WINDOWSsystem32slserv.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsSymantec SharedSecurity CenterSymWSC.exe
C:WINDOWSExplorer.EXE
C:Program FilesQuickTimeqttask.exe
C:WINDOWSSystem32mszoxfj.exe
C:WINDOWSsystem32atiptaxx.exe
C:Program FilesMessengerPlus! 3MsgPlus.exe
C:Program FilesSlySoftAnyDVDAnyDVD.exe
C:Program FilesiTunesiTunesHelper.exe
C:PROGRA~1MESSAG~1Demon.exe
C:Program FileseBayeBay Toolbar2eBayTBDaemon.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:PROGRA~1WANADOOCnxMon.exe
C:Program FilesWanadootaskbaricon.exe
C:Program FilesJavajre1.5.0_06binjusched.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesSAGEMSAGEM
C:Program FilesiPodbiniPodService.exe
C:Program FilesWanadooEspaceWanadoo.exe
C:Program FilesWanadooComComp.exe
C:Program FilesWanadooWatch.exe
C:Program FilesInternet Exploreriexplore.exe
C:DOCUME~1CHRIST~1LOCALS~1TempRépertoire temporaire 1 pour
hijackthis[1].zipHijackThis.exe
C:Program FilesMessengermsmsgs.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:Documents and SettingsAll UsersMenu DémarrerProgrammesDémarrage]
DSLMON.lnk = ?

--------------------------------------------------

Checking Windows NT UserInit:

[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
UserInit = C:WINDOWSsystem32userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun

SystemTray = SysTray.Exe
ccRegVfy = "C:Program FilesFichiers communsSymantec SharedccRegVfy.exe"
NvCplDaemon = RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
QuickTime Task = "C:Program FilesQuickTimeqttask.exe" -atboottime
wvnpktyrjqz = C:WINDOWSSystem32mszoxfj.exe
Easy-PrintToolBox = C:Program FilesCanonEasy-PrintToolBoxBJPSMAIN.EXE
/logon
AtiPTA = atiptaxx.exe
MessengerPlus3 = "C:Program FilesMessengerPlus! 3MsgPlus.exe"

--------------------------------------------------

Autorun entries from Registry:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun

CTFMON.EXE = C:WINDOWSsystem32ctfmon.exe

--------------------------------------------------

Shell & screensaver key from C:WINDOWSSYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:WINDOWSSystem32ssmarque.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU..Policies: Shell=*Registry key not found*
HKLM..Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:Program FileseBayeBay Toolbar2eBayTB.dll -
{22D8E815-4A5E-4DFB-845E-AAB64207F5BD}
(no name) - F:Spybot - Search & DestroySDHelper.dll -
{53707962-6F74-2D53-2644-206D7942484F}
(no name) - (no file) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}
(no name) - C:Program FilesJavajre1.5.0_06binssv.dll -
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - C:Program FilesMSN AppsST1.03.0000.1005en-xustmain.dll -
{9394EDE7-C8B5-483E-8773-474BF36AF6E4}
(no name) - c:program filesgooglegoogletoolbar1.dll -
{AA58ED58-01DD-4d91-8333-CF10577473F7}
(no name) - C:Program FilesMSN AppsMSN ToolbarMSN
Toolbar1.02.5000.1021frmsntb.dll - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}
NAV Helper - C:Program FilesNorton AntiVirusNavShExt.dll -
{BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Démarrage du programme de réglages.job
Planificateur pour la collecte de données PCHealth.job
Rappel de la vidéo.job
SBRegReminder.job
Rappel d'expiration de la désinstallation.job
Norton AntiVirus - Analyser mon ordinateur.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[{2A3DFC59-8A87-49A1-85D1-42903410911F}]
InProcServer32 = C:WINDOWSsystem32egaccess4_1058.dll
CODEBASE = http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1058_XP.cab

[{39EA2F6F-3F50-4F58-9C63-4B3D53B0926E}]
InProcServer32 = C:WINDOWSeg_auth_1049.dll
CODEBASE > http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1049_FR_XP.cab

[{6AA85413-165C-4200-8154-71166077B22E}]
InProcServer32 = C:WINDOWSsystem32sysiasvc32.dll
CODEBASE = http://scripts.downloadv3.com/binaries/IA/sysiasvc32_FR_XP.cab

[{87C1805D-C5AE-4455-AB39-E245BB516136}]
InProcServer32 = C:WINDOWSsystem32egaccess4_1059.dll
CODEBASE = http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1059_XP.cab

[{8B3B8135-9DAA-40E7-8941-962795F9C1CB}]
InProcServer32 = C:WINDOWSsystem32syswbsvc32.dll
CODEBASE = http://scripts.downloadv3.com/binaries/IA/syswbsvc32_FR_XP.cab

[{8D8BAF56-B581-4B90-A549-C4AC6B03F1BB}]
InProcServer32 = C:WINDOWSsystem32EGDACCESS_1074.dll
CODEBASE > http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1074_XP.cab

[{B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13}]
InProcServer32 = C:WINDOWSsystem32sysinetsvc32.dll
CODEBASE = http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_FR_XP.cab

[{BA749BC1-143E-430D-B1DA-1D2AF67A3658}]
InProcServer32 = C:WINDOWSsystem32EGDACCESS_1069.dll
CODEBASE > http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1069_XP.cab

[{BE5A7132-329F-4319-B781-2A83BFE51534}]
InProcServer32 = C:WINDOWSeg_auth_1045.dll
CODEBASE > http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1045_FR_XP.cab

[Shockwave Flash Object]
InProcServer32 = C:WINDOWSsystem32MacromedFlashFlash8.ocx
CODEBASE > http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[{D8B94E9A-A34B-4253-BF48-C7CB7F2CFDB0}]
InProcServer32 = C:WINDOWSeg_auth_1046.dll
CODEBASE > http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1046_FR_XP.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

UPnPMonitor: C:WINDOWSsystem32upnpui.dll
PostBootReminder: C:WINDOWSsystem32SHELL32.dll
CDBurn: C:WINDOWSsystem32SHELL32.dll
WebCheck: *Registry key not found*
SysTray: C:WINDOWSSystem32stobject.dll

--------------------------------------------------
End of report, 7 994 bytes
Report generated in 0,060 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only


Bonjour

Il y a 2 choses importantes a faire pour supprimer les recalcitrants : demarrer en mode
sans echec et arreter la restauration du systeme.
Ensuite, il suffit de suivre les instructions pour les supprimer.

A+

--
J' peux vider mes poches sur la table,
Ca fait longtemps qu'elles sont trouées,
Baisser mon froc j'en suis capable, mais vous n'aurez pas,
Ma liberté de penser.

"Ma liberté de penser : F. Pagny"

Claude LaFrenière
Le #1419798
Bonjour *DeepSpeeD* :


Bonjour

Il y a 2 choses importantes a faire pour supprimer les recalcitrants : demarrer en mode
sans echec et arreter la restauration du systeme.
Ensuite, il suffit de suivre les instructions pour les supprimer.


???? quelles instructions ???

Non.




--
Claude LaFrenière [MVP] :-{)

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Claude LaFrenière
Le #1419796
Bonjour *chris* :

Coucou ! Le log nécessaires est celui de HijackThis PAS celuide Startup
qui est totalement imbuvable...

Va sur le site de merjin et télécharge le bon bidule HIJACKTHIS!

Ceci s.v.p.:
http://cjoint.com/?dprIbV3wZt

Fait un scan avec HijackThis, ne coche rien et envoi le résultat ici.

Télécharge HJT (Pas Starter!) depuis le site de l'auteur:
http://www.spywareinfo.com/~merijn/

Décompresse le fichier (clic droit, décompresser...)
Exécute le programme et choisi "scan and save log"
Sélectionne ce log qui apparaît dans le bloc-notes
et
fait un copié-collé de celui-ci dans ton prochain message

A+ avec le bon log

:)
--
Claude LaFrenière [MVP] :-{)

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)
chris
Le #1419793
Bonjour

Il y a 2 choses importantes a faire pour supprimer les recalcitrants : demarrer en mode
sans echec et arreter la restauration du systeme.
Ensuite, il suffit de suivre les instructions pour les supprimer.

A+


Bonsoir,

Ok pour le demarrage mode sans echec...., et desactiver restaur
système.....mais suivre les instructions ? d'où, ou de qui ? et quoi enlever
sans risquer une fausse manipe ?

Chris




Claude LaFrenière
Le #1419790
Bonjour *chris* :

[7 lignes citées masquées]


Bonsoir,

Ok pour le demarrage mode sans echec...., et desactiver restaur
système.....mais suivre les instructions ? d'où, ou de qui ? et quoi enlever
sans risquer une fausse manipe ?

Chris

[1 ligne citée masquée]



Non c'est pas ça qui faut faire.
DeepSpeed a dit n'importe quoi.

Envoi le bon log et s'il faut désactiver la restauration je te le dirais...
Je dois voir le bon log AVANT.

Pas de recette passe-partout pour ce genre de truc.

Le log nécessaires est celui de HijackThis PAS celui de Startup
qui est totalement imbuvable...

Va sur le site de merjin et télécharge le bon bidule: HIJACKTHIS!

Ceci s.v.p.:
http://cjoint.com/?dprIbV3wZt

Fait un scan avec HijackThis, ne coche rien et envoi le résultat ici.

Télécharge HJT (Pas Starter!) depuis le site de l'auteur:
http://www.spywareinfo.com/~merijn/

Décompresse le fichier (clic droit, décompresser...)
Exécute le programme et choisi "scan and save log"
Sélectionne ce log qui apparaît dans le bloc-notes
et
fait un copié-collé de celui-ci dans ton prochain message

A+ avec le bon log
--
Claude LaFrenière [MVP] :-{)

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)


DeepSpeeD
Le #1419783
chris a rédigé
Bonjour

Il y a 2 choses importantes a faire pour supprimer les recalcitrants : demarrer en mode
sans echec et arreter la restauration du systeme.
Ensuite, il suffit de suivre les instructions pour les supprimer.

A+


Bonsoir,

Ok pour le demarrage mode sans echec...., et desactiver restaur
système.....mais suivre les instructions ? d'où, ou de qui ? et quoi enlever
sans risquer une fausse manipe ?

Chris


Il suffit d'aller sur les sites "specialisés" (secuser.com....etc) et de suivre les
recommandations...


--
J' peux vider mes poches sur la table,
Ca fait longtemps qu'elles sont trouées,
Baisser mon froc j'en suis capable, mais vous n'aurez pas,
Ma liberté de penser.

"Ma liberté de penser : F. Pagny"


DeepSpeeD
Le #1419780
Claude LaFrenière a rédigé
Non c'est pas ça qui faut faire.
DeepSpeed a dit n'importe quoi.



Je n'ai pas dit n'importe quoi !!!! :-(
Il suffit de lire le post initial :
"Bonjour,
depuis quelques temps, je suis envahi d'écrans de pub, style des jeux de
casino, video zapping, etc..........
*Je sais qu'il s'agit de spyware* que *j'ai
essayé d'éradiquer*, *mais sans succès....J'ai scanné avec spybot qui m'a
trouvé pas mal de bebettes, et que *j'ai fixé*......
Mais systematiquement, les casinos et video zapping reviennent sans
cesse...Le , ou les logiciels sont bien installé......Dans le cas du "
casino", ça se manifeste sous la forme de microsoft office 2000 qui essaye de
s'installer.......j'annule à repetition jusqu'à ce que ça se calme, mais j'ai
ça en continu..."

Donc Chris a tenté d'eradiquer mais il n'a pas pu......
La solution que je lui conseillais, c'etait de recommencer en mode sans echec et en ayant
desactivé la restauration automatique.



--
J' peux vider mes poches sur la table,
Ca fait longtemps qu'elles sont trouées,
Baisser mon froc j'en suis capable, mais vous n'aurez pas,
Ma liberté de penser.

"Ma liberté de penser : F. Pagny"

chris
Le #1419779

Bonjour *chris* :

Coucou ! Le log nécessaires est celui de HijackThis PAS celuide Startup
qui est totalement imbuvable...

Va sur le site de merjin et télécharge le bon bidule HIJACKTHIS!

Ceci s.v.p.:
http://cjoint.com/?dprIbV3wZt

Fait un scan avec HijackThis, ne coche rien et envoi le résultat ici.

Télécharge HJT (Pas Starter!) depuis le site de l'auteur:
http://www.spywareinfo.com/~merijn/

Décompresse le fichier (clic droit, décompresser...)
Exécute le programme et choisi "scan and save log"
Sélectionne ce log qui apparaît dans le bloc-notes
et
fait un copié-collé de celui-ci dans ton prochain message

A+ avec le bon log

:)
--
Claude LaFrenière [MVP] :-{)

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)



Bonsoir Claude,
voici le log demandé .j'espère que c'est le bon :

Logfile of HijackThis v1.99.1
Scan saved at 18:10:33, on 15/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32driversCDAC11BA.EXE
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:WINDOWSSystem32GEARSEC.EXE
C:Program FilesFichiers communsMicrosoft SharedVS7DEBUGMDM.EXE
C:Program FilesNorton AntiVirusnavapsvc.exe
C:WINDOWSsystem32slserv.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsSymantec SharedSecurity CenterSymWSC.exe
C:WINDOWSExplorer.EXE
C:Program FilesQuickTimeqttask.exe
C:WINDOWSSystem32mszoxfj.exe
C:WINDOWSsystem32atiptaxx.exe
C:Program FilesMessengerPlus! 3MsgPlus.exe
C:Program FilesSlySoftAnyDVDAnyDVD.exe
C:Program FilesiTunesiTunesHelper.exe
C:PROGRA~1MESSAG~1Demon.exe
C:Program FileseBayeBay Toolbar2eBayTBDaemon.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:PROGRA~1WANADOOCnxMon.exe
C:Program FilesWanadootaskbaricon.exe
C:Program FilesJavajre1.5.0_06binjusched.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesSAGEMSAGEM
C:Program FilesiPodbiniPodService.exe
C:Program FilesWindows Media Playerwmplayer.exe
C:Program FilesWanadooEspaceWanadoo.exe
C:Program FilesWanadooComComp.exe
C:Program FilesWanadooWatch.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesMessengermsmsgs.exe
C:DOCUME~1CHRIST~1LOCALS~1TempRépertoire temporaire 1 pour
hijackthis.zipHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://www.wanadoo.fr/go/page_recherche/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.wanadoo.fr
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
C:WINDOWSSYSTEMblank.htm
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Wanadoo
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:PROGRA~1WanadooSEARCH~1.DLL (file missing)
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} -
C:Program FileseBayeBay Toolbar2eBayTB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:Spybot -
Search & DestroySDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:Program FilesJavajre1.5.0_06binssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:Program FilesMSN
AppsST1.03.0000.1005en-xustmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
C:Program FilesMSN AppsMSN ToolbarMSN Toolbar1.02.5000.1021frmsntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program
FilesNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Kangaroo - {663C7429-E454-11D3-B9AE-0000B4C32B4D} -
C:IDCWEBKA.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:Program FilesNorton AntiVirusNavShExt.dll
O3 - Toolbar: (no name) - {FE6BC4EF-5676-484B-88AE-883323913256} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program
FilesMSN AppsMSN ToolbarMSN Toolbar1.02.5000.1021frmsntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} -
C:Program FilesCanonEasy-WebPrintToolband.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} -
C:Program FileseBayeBay Toolbar2eBayTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar1.dll
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers communsSymantec
SharedccRegVfy.exe"
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe"
-atboottime
O4 - HKLM..Run: [wvnpktyrjqz] C:WINDOWSSystem32mszoxfj.exe
O4 - HKLM..Run: [Easy-PrintToolBox] C:Program
FilesCanonEasy-PrintToolBoxBJPSMAIN.EXE /logon
O4 - HKLM..Run: [AtiPTA] atiptaxx.exe
O4 - HKLM..Run: [MessengerPlus3] "C:Program FilesMessengerPlus!
3MsgPlus.exe"
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:Program
FileseBayeBay Toolbar2eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions
- res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide -
res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:Program
FilesCanonEasy-WebPrintResource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:Program
FilesCanonEasy-WebPrintResource.dll/RC_Preview.html
O8 - Extra context menu item: Similar Pages - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Kangaroo - {06A18DC1-FE86-11d3-B9AF-0000B4C32B4D} -
http://knowledge-assistant.com/webka/toolbar/tbie.asp (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.5.0_06binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.5.0_06binssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
F:FRONTP~1OFFICE11REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:PROGRA~1MESSEN~1MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:PROGRA~1MESSEN~1MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} -
http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .mts: C:Program
FilesMetaCreationsMetaStreamnpmetastream.dll
O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} -
http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1058_XP.cab
O16 - DPF: {39EA2F6F-3F50-4F58-9C63-4B3D53B0926E} -
http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1049_FR_XP.cab
O16 - DPF: {6AA85413-165C-4200-8154-71166077B22E} -
http://scripts.downloadv3.com/binaries/IA/sysiasvc32_FR_XP.cab
O16 - DPF: {87C1805D-C5AE-4455-AB39-E245BB516136} -
http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1059_XP.cab
O16 - DPF: {8B3B8135-9DAA-40E7-8941-962795F9C1CB} -
http://scripts.downloadv3.com/binaries/IA/syswbsvc32_FR_XP.cab
O16 - DPF: {8D8BAF56-B581-4B90-A549-C4AC6B03F1BB} -
http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1074_XP.cab
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} -
http://scripts.downloadv3.com/binaries/IA/sysinetsvc32_FR_XP.cab
O16 - DPF: {BA749BC1-143E-430D-B1DA-1D2AF67A3658} -
http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1069_XP.cab
O16 - DPF: {BE5A7132-329F-4319-B781-2A83BFE51534} -
http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1045_FR_XP.cab
O16 - DPF: {D8B94E9A-A34B-4253-BF48-C7CB7F2CFDB0} -
http://scripts.downloadv3.com/binaries/P2EClient/EGAUTH_1046_FR_XP.cab
O17 -
HKLMSystemCCSServicesTcpip..{10E98D94-9A69-4273-AD24-36D32CA59039}:
NameServer = 80.10.246.1 80.10.246.132
O17 -
HKLMSystemCS1ServicesTcpip..{10E98D94-9A69-4273-AD24-36D32CA59039}:
NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision -
C:WINDOWSSystem32driversCDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
Corporation - C:Program FilesFichiers communsSymantec SharedccPwdSvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:WINDOWSSystem32GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. -
C:Program FilesiPodbiniPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec
Corporation - C:Program FilesNorton AntiVirusnavapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:WINDOWSSystem32nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:PROGRA~1FICHIE~1SYMANT~1SCRIPT~1SBServ.exe
O23 - Service: SmartLinkService (SLService) - Smart Link -
C:WINDOWSSYSTEM32slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:Program
FilesFichiers communsSymantec SharedSecurity CenterSymWSC.exe

Claude LaFrenière
Le #1419774
Bonjour *Louis DeepSpeeD XIV* ;-)

Claude LaFrenière a rédigé
Non c'est pas ça qui faut faire.
DeepSpeed a dit n'importe quoi.


Je n'ai pas dit n'importe quoi !!!! :-(
Il suffit de lire le post initial :


Très bien alors !

C'est moi qui dit n'importe quoi.

*VOTRE MAJESTÉ JE VOUS DEMANDE PARDON À GENOUX*

;-)
--
Claude LaFrenière [Manant Vraiment Puant] :-{)

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)


Publicité
Poster une réponse
Anonyme