-> Xp instable, Spywares et cie... <-

Recherche :

Mot : Pseudo : Filtrer
Page : 1 2 Page Suivante Page Précédente Bas de page
Auteur	Sujet : -> Xp instable, Spywares et cie... <-

Alekusu

Bonjour à tous !

[Historique des complications]Après un gel de XP, je ne pouvais plus accèder à mon tit windows, ça rebootait à chaque lancement...
Bref, je formate donc et décide de réinstaller xp. Là, l'installation met une journée ! :ouch: Je reformate avant la fin, et réinstalle sur un autre disque dur...même chose !
Je bidouille l'intérieur de l'UC, même chose ! Désesperé, je vais dans le bios et remet le paramétrage d'usine ! Et là, miracle, tout semble reprendre une vitesse normale !

Malheureusement, ce n'était pas la fin de mes soucis. Une fois XP installé, il s'est trouvé rapidement infesté de spyware et autres virus en tout genre (chose qui ne m'arrivait jamais), le PC était devenu plus lent et rapidement instable.
J'utilise donc antivirus, antispyware et cie, rien y fait ! A chaque reboot, retour des loustiques ! Sans oublier des pages qui s'ouvrent toutes seules vers http://69.20.56.3/yyy6.html, et des petites fenetres qui s'afffichent avec mis "click on YES" et compagnie. Ainsi que des probs de connexion internet... Je n'arrive même plus à ouvrir la fenêtre des processus, elle se ferme toute seule...

Voici les résultats de Hijackthis...

Logfile of HijackThis v1.97.7
Scan saved at 01:21:12, on 30/11/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
K:\HijackThis.exe
C:\WINDOWS\regedit.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\Run: [DIABLO666] Winupdsys.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Windows Securety] wurguar.exe
O4 - HKLM\..\Run: [MS FIREWALL] msfirewall.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\mqlxpcnh.exe
O4 - HKLM\..\Run: [*windows update] wrauclt.exe
O4 - HKLM\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\Run: [Remote Procedure Calls] mswinrpc.exe
O4 - HKLM\..\Run: [Microsoft Features] ms32cfg.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\qijqzvzp.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [180ax] c:\windows\180ax.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [vwt] C:\WINDOWS\vwt.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\RunServices: [DIABLO666] Winupdsys.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Securety] wurguar.exe
O4 - HKLM\..\RunServices: [MS FIREWALL] msfirewall.exe
O4 - HKLM\..\RunServices: [*windows update] wrauclt.exe
O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\RunServices: [Remote Procedure Calls] mswinrpc.exe
O4 - HKLM\..\RunServices: [Microsoft Features] ms32cfg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DIABLO666] Winupdsys.exe
O4 - HKCU\..\Run: [Microsoft Windows Securety] wurguar.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MS FIREWALL] msfirewall.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [*windows update] wrauclt.exe
O4 - HKCU\..\Run: [Remote Procedure Calls] mswinrpc.exe
O4 - HKCU\..\Run: [Microsoft Features] ms32cfg.exe
O4 - HKCU\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKCU\..\RunServices: [MS FIREWALL] msfirewall.exe
O4 - HKCU\..\RunServices: [Remote Procedure Calls] mswinrpc.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Securety] wurguar.exe
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1656368718
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab

J'ai aussi essayé de supprimer les entrées dans le registre, mais rien y fait !

Help me !

Merci d'avance à tous ceux qui tenteront de m'aider !

Message édité par Alekusu le 01-12-2004 à 01:26:25

Publicité

acrobaze

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe <- Attention, pas celui-ci : C:\WINDOWS\Explorer.EXE ! Le explorer.exe à effacer doit se trouver par exemple dans C:\WINDOWS\system32.
O4 - HKLM\..\Run: [DIABLO666] Winupdsys.exe
O4 - HKLM\..\Run: [Microsoft Windows Securety] wurguar.exe
O4 - HKLM\..\Run: [MS FIREWALL] msfirewall.exe
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\mqlxpcnh.exe
O4 - HKLM\..\Run: [*windows update] wrauclt.exe
O4 - HKLM\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\Run: [Remote Procedure Calls] mswinrpc.exe
O4 - HKLM\..\Run: [Microsoft Features] ms32cfg.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\qijqzvzp.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [180ax] c:\windows\180ax.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [vwt] C:\WINDOWS\vwt.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\RunServices: [DIABLO666] Winupdsys.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Securety] wurguar.exe
O4 - HKLM\..\RunServices: [MS FIREWALL] msfirewall.exe
O4 - HKLM\..\RunServices: [*windows update] wrauclt.exe
O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\RunServices: [Remote Procedure Calls] mswinrpc.exe
O4 - HKLM\..\RunServices: [Microsoft Features] ms32cfg.exe
O4 - HKCU\..\Run: [DIABLO666] Winupdsys.exe
O4 - HKCU\..\Run: [Microsoft Windows Securety] wurguar.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\Run: [MS FIREWALL] msfirewall.exe
O4 - HKCU\..\Run: [*windows update] wrauclt.exe
O4 - HKCU\..\Run: [Remote Procedure Calls] mswinrpc.exe
O4 - HKCU\..\Run: [Microsoft Features] ms32cfg.exe
O4 - HKCU\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKCU\..\RunServices: [MS FIREWALL] msfirewall.exe
O4 - HKCU\..\RunServices: [Remote Procedure Calls] mswinrpc.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Securety] wurguar.exe

Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".

----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)

Et supprime les fchiers ou dossiers surlignés.

Vide la corbeille.

-------------

Poste un nouveau log.

Message édité par acrobaze le 01-12-2004 à 14:37:24

Alekusu

Attends parce que ce log date un peu, maintenant je peux plus en faire sous XP "normal".
Je ne peux plus en faire que dans sa version sans échec, je te donne donc le nouveau log sans avoir effectué tes manips car j'ai l'impression que ça a pas mal changé.

EDit : J'ai aussi 17 éléments dans ma corbeille qui ne veulent pas s'en aller, quand j'explore la corbeille elle est vide...

Logfile of HijackThis v1.97.7
Scan saved at 14:42:37, on 01/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
D:\Program Files\Opera75\opera.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
K:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\Run: [Remote Procedure Calls] mswinrpc.exe
O4 - HKLM\..\Run: [Microsoft Features] ms32cfg.exe
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [Windows SSL File] winssv.exe
O4 - HKLM\..\Run: [SESync] "C:\Program Files\SED\SED.exe"
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [*windows update] wrauclt.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [otgl] C:\WINDOWS\otgl.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\tvdolaxp.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\wehshux.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Update Service] C:\WINDOWS\System32\ijfol.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\RunServices: [*windows update] wrauclt.exe
O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\RunServices: [Remote Procedure Calls] mswinrpc.exe
O4 - HKLM\..\RunServices: [Microsoft Features] ms32cfg.exe
O4 - HKLM\..\RunServices: [Windows SSL File] winssv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Remote Procedure Calls] mswinrpc.exe
O4 - HKCU\..\Run: [Microsoft Features] ms32cfg.exe
O4 - HKCU\..\Run: [Windows SSL File] winssv.exe
O4 - HKCU\..\Run: [*windows update] wrauclt.exe
O4 - HKCU\..\RunServices: [Remote Procedure Calls] mswinrpc.exe
O4 - HKCU\..\RunOnce: [Windows SSL File] winssv.exe
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1656368718
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab[]

Message édité par Alekusu le 01-12-2004 à 14:44:45

Profil supprimé

ton explorer.exe est verole

ta u nvirus

Alekusu

Je viens de lancer un Secuser.com On verra

acrobaze

Ok, commence par ceci:

Télécharge LspFix sur:
http://www.spychecker.com/download [...] spfix.html

-Lance-le
-Coche "I know what I'm doing"
-Fais passer de gauche à droite les : winlspak.dll
-Clique "Finish".

Redémarre.

Poste un nouveau log.

Alekusu

Ouah ! Il a trouvé plein de trucs, j'ai tout suppr ^^
Dois-je redemarrer ou alors si je redemarre sans faire autre chose tout va revenir directement ?

acrobaze

Tu parles de qui, là? l'antivirus ?

Alekusu

Bon après l'antivirus, l'anti spyware et LspFix, j'obtiens ça :

Logfile of HijackThis v1.97.7
Scan saved at 15:17:42, on 01/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
K:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\Run: [Remote Procedure Calls] mswinrpc.exe
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [SESync] "C:\Program Files\SED\SED.exe"
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [*windows update] wrauclt.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\RunServices: [*windows update] wrauclt.exe
O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\RunServices: [Remote Procedure Calls] mswinrpc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Remote Procedure Calls] mswinrpc.exe
O4 - HKCU\..\Run: [*windows update] wrauclt.exe
O4 - HKCU\..\RunServices: [Remote Procedure Calls] mswinrpc.exe
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1656368718
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab

acrobaze

C'est déjà mieux..pas tout à fait terminé.

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe <- Attention, pas celui-ci : C:\WINDOWS\Explorer.EXE ! Le explorer.exe à effacer doit se trouver par exemple dans C:\WINDOWS\system32.
O4 - HKLM\..\Run: [Remote Procedure Calls] mswinrpc.exe
O4 - HKLM\..\Run: [SESync] "C:\Program Files\SED\SED.exe"
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [*windows update] wrauclt.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\RunServices: [*windows update] wrauclt.exe
O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\RunServices: [Remote Procedure Calls] mswinrpc.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\Run: [Remote Procedure Calls] mswinrpc.exe
O4 - HKCU\..\Run: [*windows update] wrauclt.exe
O4 - HKCU\..\RunServices: [Remote Procedure Calls] mswinrpc.exe

Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".

----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)

Et supprime les fchiers ou dossiers surlignés.

Vide la corbeille.

-------------

Poste un nouveau log.

Publicité

Alekusu

Mais je dois faire Fix checked pour toutes les lignes que tu me dis, pas seulement celles avec du gras ?

Alekusu

Voilà le résultat :

Logfile of HijackThis v1.97.7
Scan saved at 15:42:24, on 01/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\csrss386.exe
C:\WINDOWS\system32\rundll32.exe
K:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Sepate Security Firewall] sepate.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\mepdey.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\RunServices: [Sepate Security Firewall] sepate.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1656368718
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab

acrobaze

Non, tu coches toutes les lignes indiquées.

Puis tu cliques "Fix checked".

En mode sans échec, tu supprimes les fichiers ou dossiers surlignés en gras.

Tu repars en mode normal et tu repostes un nouveau log.

(Dans tous les cas, il faut redémarrer pour que ce soit pris en compte).

Alekusu

Logfile of HijackThis v1.97.7
Scan saved at 16:07:23, on 01/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\wrauclt.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Program Files\Winamp\Winampa.exe
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\WINDOWS\System32\sepate.exe
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\System32\csrss386.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\sepate.exe
C:\WINDOWS\System32\wvsvc.exe
C:\WINDOWS\system32\ati2sgag.exe
C:\WINDOWS\explorer.exe
K:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [Sepate Security Firewall] sepate.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\mepdey.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\Run: [*windows update] wrauclt.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [Sepate Security Firewall] sepate.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\RunServices: [*windows update] wrauclt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [*windows update] wrauclt.exe
O4 - HKCU\..\Run: [Sepate Security Firewall] sepate.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1656368718
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab

Alekusu

acrobaze

Il génère de nouveaux fichiers...ou alors tu ne supprimes pas les fichiers comme indiqué (explorer.exe y est depuis le début...il ne devrait plus exister...si tu ne supprimes pas les fichiers, ça ne va jamais finir).

Ce log là, était en mode normal, pas sans échec, n'est-ce pas?

---------

Lance HijackThis, coche ces lignes:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM\..\Run: [Sepate Security Firewall] sepate.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\mepdey.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\Run: [*windows update] wrauclt.exe

O4 - HKLM\..\RunServices: [Sepate Security Firewall] sepate.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\RunServices: [*windows update] wrauclt.exe

O4 - HKCU\..\Run: [*windows update] wrauclt.exe
O4 - HKCU\..\Run: [Sepate Security Firewall] sepate.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svmhost.exe

Quand toutes sont cochées, clique "Fix checked".

Redémarre en mode sans échec et supprime:

C:\WINDOWS\System32\wrauclt.exe
C:\WINDOWS\System32\sepate.exe
C:\WINDOWS\System32\explorer.exe <-dans CE dossier
C:\WINDOWS\System32\csrss386.exe
C:\WINDOWS\System32\wvsvc.exe
svmhost.exe

Vide la corbeille.

Redémarre en mode normal et poste un nouveau log.

Message édité par acrobaze le 01-12-2004 à 16:26:51

Alekusu

C'est fait, mais pas d'explorer.exe dans ce dossier. Ni de wvsvc.exe, ni de wrauclt.exe, ni de csrss386.exe, ni de sepate.exe.

Par contre j'ai bien trouvé et supprimé svmhost.exe.

Je reviens sous le mode normal et je fais un new log...

Alekusu

Logfile of HijackThis v1.97.7
Scan saved at 18:04:03, on 01/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\wrauclt.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Program Files\Winamp\Winampa.exe
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\WINDOWS\System32\wvsvc.exe
C:\WINDOWS\System32\csrss386.exe
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ati2sgag.exe
C:\WINDOWS\System32\devldr32.exe
K:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [*windows update] wrauclt.exe
O4 - HKLM\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\gposcoz.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\immpp.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [*windows update] wrauclt.exe
O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [*windows update] wrauclt.exe
O4 - HKCU\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1656368718
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab

Alekusu

Je viens de remarquer que les fichiers que je n'arrive pas à trouver ont un chemin avec "System32" alors que les normaux sont dans "system32". Dans le premier cas majuscule, dans le deuxieme pas de majuscule, le fait d'en mettre une sous windows me ramène évidemment à la version "normale"...

acrobaze

Comme déjà indiqué, il faut faire ceci pour les trouver:

Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)

Ils sont bien là. On les voit dans les "running processes". Pas de doute.

Alekusu

Non mais ça je l'ai déjà fait depuis longtemps, c'est toujours mis comme ça sur mon pc de toutes façons...
C'est pour ça que je comprends pas...

acrobaze

Ok. Alors utilise HijackThis -> Config -> Misc Tools-> Delete a file on reboot

Tu rentres successivement :

C:\WINDOWS\System32\wrauclt.exe
C:\WINDOWS\System32\sepate.exe
C:\WINDOWS\System32\explorer.exe <-dans CE dossier
C:\WINDOWS\System32\csrss386.exe
C:\WINDOWS\System32\wvsvc.exe
svmhost.exe (voir son emplacement avant)

répondre "Non" au moment du reboot sauf pour le dernier fichier rentré.

Après le reboot, relancer HijackThis et voir si ces fichiers ont bien été supprimés.

Alekusu

Je peux pas, quand je fais "Delete a file on reboot", je dois chercher le fichier à suppr, or comme tu peux le deviner, il n'y est pas.
Je peux peut-etre utilisé une commande dos ?

acrobaze

Ha flûte!

Alors tente avec "PocketKillBox", ça marche par copier/coller:

Télécharge "PocketKillBox" sur :
http://download.broadbandmedic.com/

Pose-le sur ton bureau. Lance-le.
Coche "Delete on reboot".
Dans "Paste full path of file.." ->copie/colle: successivement les noms de fichiers -> "Delete file"(la croix blanche)
Et pareil, réponds non au reboot sauf au dernier.

Tu peux le faire avec cette fenêtre ouverte, ce sera plus pratique pour le copier/coller.

Alekusu

C'est fait.

Logfile of HijackThis v1.97.7
Scan saved at 20:28:46, on 01/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Program Files\Winamp\Winampa.exe
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ati2sgag.exe
K:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [*windows update] wrauclt.exe
O4 - HKLM\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\gposcoz.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\immpp.exe
O4 - HKLM\..\Run: [Sepate Security Firewall] sepate.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [*windows update] wrauclt.exe
O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\RunServices: [Sepate Security Firewall] sepate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [*windows update] wrauclt.exe
O4 - HKCU\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1656368718
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab

acrobaze

Wouap! Ils ne sont plus ds les "running processes"...ça a du fonctionner..

Cocher et fixer ds HijackThis:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [*windows update] wrauclt.exe
O4 - HKLM\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\gposcoz.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\immpp.exe
O4 - HKLM\..\Run: [Sepate Security Firewall] sepate.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [*windows update] wrauclt.exe
O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\RunServices: [Sepate Security Firewall] sepate.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [*windows update] wrauclt.exe
O4 - HKCU\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe

-------

Puis de la mm manière avec PocketKillBox, supprimer:
C:\WINDOWS\System32\gposcoz.exe
C:\WINDOWS\System32\immpp.exe

--------
Donc, rebooter et poster un nouveau log.

-----------------------------------------------------

Au passage:

Citation :

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

ça coûte cher de ne pas être à jour.

Alekusu

Comment ça pas être à jour ?

Logfile of HijackThis v1.97.7
Scan saved at 21:00:47, on 01/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Program Files\Winamp\Winampa.exe
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\WINDOWS\System32\win32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ati2sgag.exe
K:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Windows Network Firewall] win32.exe
O4 - HKLM\..\RunServices: [Windows Network Firewall] win32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows Network Firewall] win32.exe
O4 - HKCU\..\RunOnce: [Windows Network Firewall] win32.exe
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1656368718
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab

acrobaze

Bien, pas de SP..au moins sur IE.

--------

Il n'en reste plus qu'un..un nouveau...mais un quand même.

Même procédure avec win32.exe.

Cocher et fixer:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM\..\Run: [Windows Network Firewall] win32.exe
O4 - HKLM\..\RunServices: [Windows Network Firewall] win32.exe
O4 - HKCU\..\Run: [Windows Network Firewall] win32.exe
O4 - HKCU\..\RunOnce: [Windows Network Firewall] win32.exe

Puis supprimer au reboot:
C:\WINDOWS\System32\win32.exe

Alekusu

Logfile of HijackThis v1.97.7
Scan saved at 22:03:42, on 01/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Program Files\Winamp\Winampa.exe
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\WINDOWS\System32\SndMon32.exe
C:\WINDOWS\System32\mod3.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ati2sgag.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
K:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\Run: [mod3] mod3.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunServices: [mod3] mod3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [mod3] mod3.exe
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1656368718
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab

acrobaze

Bon, ce n'est pas possible. Il en recharge contamment.

Je te propose d'installer ZoneAlarm et de n'autoriser à sortir que les éléments essentiels.

http://www.zonelabs.com/store/cont [...] id=pdb_za1

Une fois ça fait. On terminera. Sinon, ça donne l'impression d'être infini.

Alekusu

C'est installé (Désolé pour le retard ^^)

acrobaze

Ok. Donc veille bien à ce qu'aucun prog suspect ne puisse sortir.

Du dernier rapport:

Cocher et fixer:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\Run: [mod3] mod3.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunServices: [mod3] mod3.exe
O4 - HKCU\..\Run: [mod3] mod3.exe
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\RunOnce: [Windows Sound Manager] SndMon32.exe

Et supprimer:

C:\WINDOWS\System32\SndMon32.exe
C:\WINDOWS\System32\mod3.exe

Puis poster un nouveau log.

Alekusu

Logfile of HijackThis v1.97.7
Scan saved at 22:00:24, on 02/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Program Files\Winamp\Winampa.exe
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ati2sgag.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\devldr32.exe
K:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [MS FIREWALL] msfirewall.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [MS FIREWALL] msfirewall.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [MS FIREWALL] msfirewall.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\RunServices: [MS FIREWALL] msfirewall.exe
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1656368718
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab

Alekusu

J'ai installé la SP1 de IE au passage...
C'est quand même drôlement compliqué de se débarasser de ces bestioles...
ET dire que pendant 2 ans je suis resté sans antivirus et sans firewall avec un xp super stable...Je comprends plus rien ^^

acrobaze

Cocher et fixer:

O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [MS FIREWALL] msfirewall.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [MS FIREWALL] msfirewall.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [MS FIREWALL] msfirewall.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKCU\..\RunServices: [MS FIREWALL] msfirewall.exe

------

Y ajouter sans se faire d'illusion:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
------------

Il n'y a pas d'exe à supprimer. Sûrement bon signe.

Poste un nouveau log.

balltrap34

salut
ces 01 pose de tres gros probleme
et aussi les 015
je fait des recherche sur la base de registre pour voir se que l ont peut faire
et en plus il me semble que cela bloque l acces au parametrage des sites de confiance dans les options internet
:cry:

Message édité par balltrap34 le 04-12-2004 à 00:02:24

Alekusu

Désolé, je m'étais absenté

Donc voilà où on en est :

Logfile of HijackThis v1.97.7
Scan saved at 14:49:52, on 07/12/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
K:\HijackThis.exe
C:\WINDOWS\system32\rundll32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Microsoft Update Machine] explorer.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Printer spool Service] spool.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Printer spool Service] spool.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunServices: [Remote Procedure Calls] mswinrpc.exe
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1656368718
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab

Mais bon, toujours système instable et lent, idem pour la connexion internet.

Alekusu

New log :

Logfile of HijackThis v1.97.7
Scan saved at 15:30:43, on 12/07/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
K:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1656368718
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab

anasecu

bonsoir

essaie de télécharger ces programmes :
- VX2Finder(126) selon version de ton système
- CWS HiddenDLLFinder (DllCompare.exe)
sur ce site : http://download.broadbandmedic.com/

ensuite, tu les lances et tu postes le résultat.

Alekusu

error 400: Bad Request

Publicité

Page : 1 2

Page Suivante

Page Précédente

Haut de page

FORUM HardWare.fr

Windows & Software

Sécurité

-> Xp instable, Spywares et cie... <-

Sujets relatifs
Routeur DI-707P INSTABLE	Aides pour supprimer spywares
Wifi connection adhoc instable	comment éviter le chargement des spywares ?
Les spywares bientot passibles d'amendes aux Etats Unis !	Spywares, virus, ou trojans?
wifi instable des moyens de ne pas perdre le signal ?	Je m'en sort pas avec ces spywares
virus spywares et autres saloperies	Comment se proteger des spywares en general ?
Plus de sujets relatifs à : -> Xp instable, Spywares et cie... <-

Page générée en 0.125 secondes