Citation :
Salut,
Ton log est tres infecte donc si tu as une question ou un probleme, dis le moi.
Imprimer ces instructions, ou colle les dans un fichier texte.
Télécharge Look2Me-Destroyer.exe sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=7
. Ferme toutes les fenêtres actives.
. Lance l'outil Look2Me-Destroyer.exe.
. Coche Run this program as a task
. Un message s'affichera :
"Look2Me-Destroyer will close and re-open in approximately 10 seconds"-> OK
. Il se relancera après les 10 secondes, puis appuie sur le bouton Scan for L2M.
. Les icônes de ton Bureau vont disparaître.
. Le scan termine, clique sur Remove L2M
. Un nouveau message Done Scanning apparaîtra, clique OK.
suivi de Done removing infected files! Look2Me-Destroyer will now shutdown your computer-> OK.
. Ton PC va séteindre.
. Démarre ton PC normalement.
. Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt ,
ainsi qu'un rapport HijackThis.
1/ Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.
2/ Si tu reçois un message de ton firewall disant que l'outil tente d'accéder à l'internet : Accepte ou desactive ton firewall
3/ Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX et place-le dans le dossier C:\Windows\System32.
http://www.ascentive.com/support/n [...] WINSCK.OCX
* Télécharger et installer :
- Ewido http://www.ewido.net/fr/download/
* Durant l'installation
* Sur la page Additional Options
* Décoche Install background guardet et Install scan via context menu
* Lance Ewido Security Suite. Clique sur Mise à jour mais ne t'en serts pas tout de suite.
* Enlevez les applications nocives :
Verifiez si ces programmes sont presents via Panneau de configuration / Ajout et suppresion de programmes :
Network Monitor
COMMON <= Le programme qui commence par ces lettres
S'ils sont presents, les desinstaller.
* Enlever les services :
-Maintenant on va supprimer le(s) service(s) lié(s) à l'infection
Lancer Hijackthis, choisir Open the Misc.Tools section (Ouvrir la section outils)
La fenêtre Configuration va s'ouvrir.
Cliquer sur Delete a NT service... (Enlever un service NT)
La fenêtre Delete a Windows NT service (Enlever un service NT) va s'ouvrir
Entrer dans la zone de dialogue :
C:\WINNT\QmxhcXVpZXJl\command.exe
Note : assurez-vous de ne mettre d'espace, ni avant, ni après !
Une autre fenêtre va s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer cliquer non.
Refaire de meme avec ces lignes :
C:\Program Files\Network Monitor\netmon.exe
C:\WINNT\win32ssr.exe
* Enlever les lignes nefastes :
Relancez HijackThis et cliquez sur Scan only puis cochez les lignes [ si presentes ] en gras ci-dessous :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\system32\spooIsv.exe
O4 - HKLM\..\Run: [AdobeReaderPro] lssas.exe
O4 - HKLM\..\Run: [chat] winhost32.exe
O4 - HKLM\..\Run: [Microsoft System Debug] winded.exe
O4 - HKLM\..\Run: [Windows Update Manager] C:\WINNT\taskbar.exe
O4 - HKLM\..\Run: [Microsoft Command C] mchost.exe
O4 - HKLM\..\RunServices: [AdobeReaderPro] lssas.exe
O4 - HKLM\..\RunServices: [Microsoft System Debug] winded.exe
O4 - HKLM\..\RunServices: [Windows Update Manager] C:\WINNT\taskbar.exe
O4 - HKLM\..\RunServices: [Microsoft Command C] mchost.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [chat] winhost32.exe
O4 - HKCU\..\Run: [Ciwt] "C:\PROGRA~1\COMMON~1\ASKS~1\chkdsk.exe" -vt tzt
O4 - HKCU\..\Run: [Windows Update Manager] C:\WINNT\taskbar.exe
O4 - HKCU\..\Run: [Microsoft Command C] mchost.exe
O4 - HKCU\..\RunServices: [Microsoft Command C] mchost.exe
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - http://chat5.x-echo.com/version6/Applet
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Se [...] 4fe786b984
O20 - Winlogon Notify: H323TSP - C:\WINNT\system32\fnl0213mg.dll (file missing)
Fermez toutes les applications en cours sauf HijackThis et faites Fix .
* Supprimez les mauvais fichiers :
Supprimez les fichiers/dossiers incriminés en gras ci dessous [ s'ils sont presents ] en suivant le chemin d'acces.
C:\WINNT\system32\ spooIsv.exe <= Le fichier
C:\WINNT\ taskbar.exe <= Le fichier
C:\WINNT\system32\ fnl0213mg.dll <= Le fichier
C:\PROGRA~1\ COMMON~1 <= Le dossier qui commence par COMMON
C:\Program Files\ Network Monitor <= Le dossier
C:\WINNT\ win32ssr.exe <= Le fichier
mchost.exe
winhost32.exe
internat.exe
winded.exe
lssas.exe
Important : Pour ceux ou il n'y pas le chemin d'accés devant, faire Démarrer / Rechercher puis Taper le nom du fichier et supprimer et coche la case Inclure les fichiers caches ( etre très vigilant avec les noms !!! )
* Faire un scan avec Ewido.
* Clique sur Scanner et choisir Scan complet du système
* Si des fichiers infectés sont trouvés, toujours les supprimer
* Le scan fini, sauver le rapport et le postez ici.
* Voir les resultats de la manipulation :
Redémarrez l'ordinateur en mode normal et postez un nouveau rapport HijackThis à titre vérificatif ainsi que le rapport de Ewido.
|
ou qui puisse m'aider
