Re

Dans Hijackthis, coche les lignes ci dessous :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [task.exe] C:\WINDOWS\task.exe

O4 - HKLM\..\Run: [Windows] C:\WINDOWS\Windows.exe

O14 - IERESET.INF:
START_PAGE_URL=
http://www.files-ftp.com/~unicorni/
phpBB2/index.php

Ferme toutes les fenêtres sauf Hijackthis et clique sur "Fix Checked".

Télécharge OTMoveIt (de Old_Timer) sur ton bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

• Double-clique sur OTMoveIt.exe
• Vérifie que la case "Unregister Dll´s and Ocx´s" soit bien cochée.
• Copie le texte ci-dessous, et colle le dans le cadre dans OTMoveIt appelé "Paste List of Files/Folders to be moved".

C:\WINDOWS\Windows.exe
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\task.exe

• Clique sur MoveIt!.
• Quand le résultat apparaît dans le cadre Results, clique sur Exit.
• Puis redémarre le PC.
• Enfin, envoie le rapport de OTMoveIt situé dans C:\_OTMoveIt\MovedFiles.

Télécharge SDFix (par AndyManchesta) et sauvegarde le sur ton bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

• Double clique sur SDFix.exe et choisis Install pour l´extraire dans son dossier sur le bureau.
• Redémarre le PC en mode sans échec en appuyant sur F8 au démarrage du BIOS.
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d´être créé sur le bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le nettoyage.
• Quand il te le demandera, appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long à redémarrer car l´outil va continuer à s´exécuter et supprimer des fichiers.
• Après le chargement du bureau, l´outil aura terminé et affichera Finished.
• Appuie sur une touche pour finir l´exécution du script et charger les icônes de ton bureau.
• Le rapport SDFix s´ouvrira et il sera enregistré dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le rapport du fichier Report.txt.

PS: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l´outil.
- Andy fait plusieurs mises à jour, souvent plus d´une par jour... N´hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l´outil ne semble pas tout voir.

Reposte un log Hijackthis.

++ On a bientôt fini à priori

Des popus a la con quoi!!!

Sites de ventes, pub diverses, sites de rencontres, pub de banques.....

"Ferme toutes les fenêtres sauf Hijackthis et clique sur "Fix Checked"."

Me prendrais tu pour un demeuré cher ami MDR???

Non lol mais ça c´est déjà vue

J´ai repéré d´autres choses néfastes en plus des pop-up, c´est pourquoi c´est plus long que prévue

C:\WINDOWS\Windows.exe moved successfully.
C:\WINDOWS\ALCMTR.EXE moved successfully.
File/Folder C:\WINDOWS\task.exe not found.

Created on 05/08/2007 13:35:15

Bien, j´attends la suite

SDFix: Version 1.83

Run by Administrateur - 08/05/2007 - 13:51:29,25

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Dimephal\Bureau\SDFix\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service

Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\update.exe - Deleted

Removing Temp Files

ADS Check:

Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.

Final Check:

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi
ces\SharedAccess\Parameters\FirewallPolicy\Standar
dProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\syste
m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Grisoft\\AVG Free\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG Free\\avginet.exe:*:Enabled:avginet.exe"
"C:\\Program Files\\Grisoft\\AVG Free\\avgemc.exe"="C:\\Program Files\\Grisoft\\AVG Free\\avgemc.exe:*:Enabled:avgemc.exe"
"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"="C:\\Program Files\\Google\\Google Talk\\googletalk.exe:*:Enabled:Google Talk"

"C:\\mcoinstall.exe"="C:\\mcoinstall.exe:*:Enabled
:mcoinstall"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\WINDOWS\\task.exe"="C:\\WINDOWS\\task.exe:*:D
isabled:task"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft
ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:
Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft
ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0
:enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft
ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:
Enabled:ActiveSync Application"
"C:\\Program Files\\Xfire\\Xfire.exe"="C:\\Program Files\\Xfire\\Xfire.exe:*:Enabled:Xfire"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi
ces\SharedAccess\Parameters\FirewallPolicy\DomainP
rofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\syste
m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft
ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:
Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft
ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0
:enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft
ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:
Enabled:ActiveSync Application"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------

Backups Folder: -
C:\DOCUME~1\Dimephal\Bureau\SDFix\SDFix\backups\ba
ckups.zip

Checking For Files with Hidden Attributes:

C:\Program Files\Fichiers communs\Yazzle1583OinUninstaller.exe

Finished

Logfile of HijackThis v1.99.1
Scan saved at 13:59:17, on 08/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\EzBackup\EZ-Backup Manager\EzBackup.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Razer\Copperhead\razerhid.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Program Files\Razer\Copperhead\razerofa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\hijackthis\Scanner.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.metacrawl.ws
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://www.yoby.net/sb/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.yoby.net/sp/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.files-ftp.com/com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
http://www.metacrawl.ws
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: MetaCrawl.WS Toolbar - {01E69986-A054-4C52-ABE8-EF63DF1C5211} - C:\Program Files\IEToolbar\metacrawl.ws.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra ´Tools´ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra ´Tools´ menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ´Tools´ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) -
http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} -
C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DL
L
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: EZ-Backup Manager - Unknown owner - C:\Program Files\EzBackup\EZ-Backup Manager\EzBackup.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

Coche:

• O3 - Toolbar: MetaCrawl.WS Toolbar - {01E69986-A054-4C52-ABE8-EF63DF1C5211} - C:\Program Files\IEToolbar\metacrawl.ws.dll
• http://www.metacrawl.ws
• http://www.metacrawl.ws
• R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
• http://www.yoby.net/sb/
• R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

Neutral

• http://www.yoby.net/sp/

• http://www.files-ftp.com/[...]ni/phpBB2/index.php

L

Re

Le rapport Hijackthis est propre, Fix juste cette ligne :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.files-ftp.com/[...]ni/phpBB2/index.php

Télécharge AVG anti-spyware et installe le :

http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches(...)

Tuto:
http://www.malekal.com/tum/tutorial_AVG_AntiSpyware.php

- Redémarre en mode sans échec.
- Ensuite lance AVG et clique sur « Analyse » puis sur le sous-onglet Paramètres
- Dans Comment Réagir ? Choisis Quarantaine.
- Reviens au sous-onglet Analyser puis clique sur Analyse complète du système.
- le scan démarre.

Quand le scan touche à sa fin, clique sur Appliquer toutes les actions, les éléments sont alors déplacé en quarantaine.
Enfin, clique sur Enregistrer le rapport d´analyse, enregistre le sur le bureau et poste le ici.

Télécharge GenProc de jean-chretien1 et narco4 sur ton bureau et dézippe le:

http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

Puis double-clique sur GenProc.bat et Poste le contenu du rapport qui s´ouvre.

++

Et évite d´aller sur des sites de cra ck, c´est du spy gratuit!

N´écoute pas Bigdrum

Ca sert à rien tous ces rapports! J´ai vu plein de topic dessus et à la fin le mec l´a laissé tomber au bout de 10 scans! ^^
Reformate tu n´y arriveras pas comme ça! :s

Bigdrum

Je te remercie pour tout.....!!!!!
Vraiment sympa!!!

Par contre j´ai déja fais AVG en sans échec et il a mis 2 fichiers critiques en quarantaine (je l´ai fais au début des symptomes et encore ce matin avant de demander de l´aide).....

Une autre question:toi qui connait bien,d´ou viennent ces Malwares????A part le P2P que ma fille utilise occasionnellement je ne vois pas....
Moi le pC ne me sert que pour jouer (Guildwars)....

Encore merci beaucoup!!!!

EvilElf...... tu veux en venir où comme ça

Sinon dans les certificats il y avait "Elecronic group"...j´ai supprimé...

EvilElf essaie de résoudre son problème Bigdrum c´est toujours mieux que de reformater ton PC.

Bigdrum, les rapports indique des infections, je ne fais pas ça seulement pour les pop-up, laisse moi faire mon taf, merci ><

Les Malwares, tu les chopes en surfant et sur le P2P la plupart du temps.

Dimephal c´est bientôt fini t´inquiète

Utilise GenProc s´il te plait, c´est très rapide.

Je sais bien mais je voulais juste dire (et j´offense pas non?) que j´ai vu quelques topics qui n´ont rien donné! Perso, comme je formate de temps en temps je me pose pas la question.