[ok]demande analyse de log

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[ok]demande analyse de log

Messagede lolotte » 02 Juil 2006, 15:30

bonjour à vous tous,

pouvez vous analyser le log suivant , problème avec de la pub intempestives et une fenetre dos qui s'ouvre et disparait===>>


Logfile of HijackThis v1.99.1
Scan saved at 16:26:47, on 02/07/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\winlogon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\LVComS.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/def ... earch.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://support.free.fr/proxy/pac:8080
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/c ... dot8_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/c ... pyt1_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {E15111B0-95AE-4C05-B91F-F4564057990C} (MovieSystem WAY) - http://servicesv4.moviesystem.com/cabs/msway.cab
O20 - AppInit_DLLs: C:\WINNT\system32\chkdsk.dll
O20 - Winlogon Notify: RunOnce - C:\WINNT\system32\sborprop.dll (file missing)
O20 - Winlogon Notify: ShellCompatibility - C:\WINNT\system32\k2lqlc351f.dll
O20 - Winlogon Notify: WebCheck - C:\WINNT\system32\ohe2.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\ZnJhbudvaXMgbWFzcXVlbGllcg\command.exe (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Microsoft Windows Protection (Windows Protection Service) - Unknown owner - C:\WINNT\winlogon.exe



D'avance merci à vous et à très bientot
Dernière édition par lolotte le 07 Juil 2006, 23:44, édité 1 fois.
Personne n'est parfait
Avatar de l’utilisateur
lolotte
 
Messages: 23
Inscription: 16 Fév 2006, 15:22
Localisation: Hte Normandie

Messagede nickW » 02 Juil 2006, 17:42

Bonsoir,

Infection par Look2Me!


Première partie.


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML, ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".


Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php


Étape 2: Réglage antivirus
Paramétrer AntiVir comme indiqué sur cette page: http://speedweb1.free.fr/frames2.php?page=tuto5 (Merci Tesgaz)
Ne pas lancer de scan maintenant!


Étape 3: Ccleaner
Télécharger et installer Ccleaner Basic dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/downloadbuilds.asp

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers, Vieilles données du Prefetch
*- Dans l'onglet Options-Avancé, décocher:
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 4: ewido anti-spyware
Télécharger la version d'essai de ewido anti-spyware depuis http://www.ewido.net/en/download/
L'installer.
Lancer ewido anti-spyware.
Cliquer sur le menu Update.
Si nécessaire, dans la colonne Settings (à droite), saisir les paramètres du proxy.
Dans le paragraphe Manual Update, cliquer sur le bouton Start update.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer de scan maintenant!


Étape 5: l2mfix option 1
Télécharger l2mfix.exe (de Shadowwar) depuis:
http://www.downloads.subratam.org/l2mfix.exe ou http://www.atribune.org/downloads/l2mfix.exe
Enregistrer le fichier sur le bureau puis double-cliquer sur le fichier l2mfix.exe
Cliquer sur le bouton "Install" pour dézipper
Ouvrir le dossier l2mfix créé sur le bureau
Double-cliquer sur L2Mfix.bat et choisir l'option 1 Run Find Log (taper 1 puis Entrée)
Après quelques minutes de recherche, il y a ouverture du Bloc-notes; enregistrer le fichier sous le nom l2mfix-1.txt.
(ne pas utiliser l'option 2 ni aucun autre fichier du dossier l2mfix)
Par contre, si une erreur s'affiche en lançant l'option #1, similaire à ceci : ''C:\windows\system32\cmd.exe
C:\windows\system32\autoexec.nt the system file is not suitable for running ms-dos and microsoft windows applications. Choose close to terminate the application.."... utiliser l'option #5 ou le lien web fourni dans le dossier "l2mfix" afin de résoudre cette erreur. Ne pas lancer d'autres options avant d'avoir réglé ce problème.



Étape 6: Résultat
Envoyer en réponse le log de log de l2mfix (contenu du fichier l2mfix-1.txt) avec un nouveau log HijackThis.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suite

Messagede lolotte » 02 Juil 2006, 23:13

Merci NickW pour ton aide voici la suite===>>>



Logfile of HijackThis v1.99.1
Scan saved at 23:54:48, on 02/07/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\winlogon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\LVComS.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/def ... earch.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://support.free.fr/proxy/pac:8080
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/c ... dot8_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/c ... pyt1_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {E15111B0-95AE-4C05-B91F-F4564057990C} (MovieSystem WAY) - http://servicesv4.moviesystem.com/cabs/msway.cab
O20 - AppInit_DLLs: C:\WINNT\system32\chkdsk.dll
O20 - Winlogon Notify: MediaContentIndex - C:\WINNT\system32\k2lqlc351f.dll
O20 - Winlogon Notify: RunOnce - C:\WINNT\system32\sborprop.dll (file missing)
O20 - Winlogon Notify: WebCheck - C:\WINNT\system32\ohe2.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\ZnJhbudvaXMgbWFzcXVlbGllcg\command.exe (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Microsoft Windows Protection (Windows Protection Service) - Unknown owner - C:\WINNT\winlogon.exe

______________________________________________________________________________________________________




L2MFIX find log 051206
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\MediaContentIndex]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINNT\\system32\\k2lqlc351f.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnce]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINNT\\system32\\sborprop.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WebCheck]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINNT\\system32\\ohe2.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{A391CA7F-B67A-8C80-13BE-4FF96D5BB0C2}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Feuille de propri‚t‚s du fichier multim‚dia"
"{176d6597-26d3-11d1-b350-080036a75b03}"="Gestion de scanneur ICM"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Page de s‚curit‚ NTFS"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Page des propri‚t‚s de OLE DocFile"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensions de l'interpr‚teur de commandes pour le partage"
"{41E300E0-78B6-11ce-849B-444553540000}"="Extension du Panneau de configuration PlusPack"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Carte du Panneau de configuration"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage cran du Panneau de configuration"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Panorama du Panneau de configuration"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Page de s‚curit‚ DS"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestionnaire de donn‚es endommag‚es de l'interpr‚teur de commandes"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Extension copie de disquette"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensions de l'interpr‚teur de commandes pour les objets Microsoft Windows Network"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestion d'‚cran ICM"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestion d'imprimante ICM"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensions de l'interpr‚teur de commandes pour la compression de fichiers"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Extension du shell d'imprimante Web"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu contextuel de cryptage"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Porte-documents"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="HyperTerminal Icon Ext"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Page de s‚curit‚ des imprimantes"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensions de l'interpr‚teur de commandes pour le partage"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extension de l'interpr‚teur de commande pour Windows Script Host"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie PKO"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie Sign"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connexions r‚seau et accŠs … distance"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tƒches planifi‚es"
"{1A9BA3A0-143A-11CF-8350-444553540000}"="Dossier favori du shell"
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"="Poste de travail"
"{86747AC0-42A0-1069-A2E6-08002B30309D}"="Porte-documents"
"{0AFACED1-E828-11D1-9187-B532F1E9575D}"="Raccourci vers le dossier"
"{12518493-00B2-11d2-9FA5-9E3420524153}"="Volume mont‚"
"{21B22460-3AEA-1069-A2DC-08002B30309D}"="Extension de la page de propri‚t‚s des fichiers"
"{B091E540-83E3-11CF-A713-0020AFD79762}"="Page des types de fichiers"
"{FBF23B41-E3F0-101B-8488-00AA003E56F8}"="Gestionnaire des types de fichiers MIME"
"{C2FBB630-2971-11d1-A18C-00C04FD75D13}"="Service Copier vers Microsoft"
"{C2FBB631-2971-11d1-A18C-00C04FD75D13}"="Service D‚placer vers Microsoft"
"{13709620-C279-11CE-A49E-444553540000}"="Service d'automatisation de l'interface"
"{62112AA1-EBE4-11cf-A5FB-0020AFE7292D}"="Shell Automation Folder View"
"{4622AD11-FF23-11d0-8D34-00A0C90F2719}"="Menu D‚marrer"
"{7BA4C740-9E81-11CF-99D3-00AA004AE837}"="Service SendTo Microsoft"
"{D969A300-E7FF-11d0-A93B-00A0C90F2719}"="Service Nouvel objet Microsoft"
"{09799AFB-AD67-11d1-ABCD-00C04FC30936}"="Ouvrir avec le gestionnaire de menu contextuel"
"{3FC0B520-68A9-11D0-8D77-00C04FD70822}"="Afficher les extensions HTML du Panneau de configuration"
"{75048700-EF1F-11D0-9888-006097DEACF9}"="ActiveDesktop"
"{6D5313C0-8C62-11D1-B2CD-006097DF8C11}"="Extension de la page de propri‚t‚s des options des dossiers"
"{57651662-CE3E-11D0-8D77-00C04FC99D61}"="CmdFileIcon"
"{4657278A-411B-11d2-839A-00C04FD918D0}"="Application d'aide du systŠme pour le glisser-d‚placer"
"{A470F8CF-A1E8-4f65-8335-227475AA5C46}"="Ajouter l'‚l‚ment de cryptage dans les menus contextuels de l'Explorateur"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barre d'outils Internet Microsoft"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="tat du t‚l‚chargement"
"{568804CA-CBD7-11d0-9816-00C04FD91972}"="Menu Dossier Bureau"
"{5b4dae26-b807-11d0-9815-00c04fd91972}"="Bande de menus"
"{8278F931-2A3E-11d2-838F-00C04FD918D0}"="Suivi du menu Shell"
"{E13EF4E4-D2F2-11d0-9816-00C04FD91972}"="Menu Site"
"{ECD4FC4F-521C-11D0-B792-00A0C90312E1}"="Menu Barre du Bureau"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Dossier Bureau ‚tendu"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Dossier du shell augment‚"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{D82BE2B0-5764-11D0-A96E-00C04FD705A2}"="IShellFolderBand"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Bande du navigateur Microsoft"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Bande de recherche"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Volet int‚gr‚ de recherche"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Recherche Web"
"{0E5CBF21-D15F-11d0-8301-00AA005B4383}"="&Liens"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilitaire des options de l'arborescence du Registre"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="BoŒte d'entr‚e de l'adresse"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Saisie semi-automatique Microsoft"
"{7487cd30-f71a-11d0-9ea7-00805f714772}"="Image miniature"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="Liste de saisie semi-automatique MRU"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu Site de bandes"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barre du Bureau"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistance utilisateur"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="ParamŠtres du dossier global"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Historique"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Image de d‚marrage de la Suite IE4"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="Dossier ActiveX Cache"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Dossier Inscription"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{8BEBB290-52D0-11D0-B7F4-00C04FD706EC}"="Miniatures"
"{EAB841A0-9550-11CF-8C16-00805F1408F3}"="Extracteur de miniatures HTML"
"{1AEB1360-5AFC-11D0-B806-00C04FD706EC}"="Extracteur de miniatures des filtres graphiques Office"
"{9DBD2C50-62AD-11D0-B806-00C04FD706EC}"="Summary Info Thumbnail handler (DOCFILES)"
"{500202A0-731E-11D0-B829-00C04FD706EC}"="LNK file thumbnail interface delegator"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestionnaire d'application du shell"
"{0B124F8C-91F0-11D1-B8B5-006008059382}"="num‚rateur d'applications install‚es"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{fe1290f0-cfbd-11cf-a330-00aa00c16e65}"="Directory Namespace"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{450D8FBA-AD25-11D0-98A8-0800361B1103}"="MyDocs Folder"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Menu Fichiers hors connexion"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Options du dossier Fichiers hors connexion"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Dossier Fichiers hors connexion"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Barre de progrŠs auto-ouvrante"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analyseur de la barre d'adresses"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Fichier de chaŒne"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Raccourci de chaŒne"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="Des &personnes..."
"{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}"="My Logitech Pictures"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"="Shell Extension for Malware scanning"
"{EABAEEF5-4C5B-4715-922E-6D2D3C75E0F0}"=""
"{25630395-64BB-4E7C-B9BD-D5E893AB87ED}"=""
"{E1428949-B824-4E07-A65F-B330E2FFA42C}"=""
"{036BA153-4BB2-4560-BEF4-B7A180C5380B}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{036BA153-4BB2-4560-BEF4-B7A180C5380B}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{036BA153-4BB2-4560-BEF4-B7A180C5380B}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{036BA153-4BB2-4560-BEF4-B7A180C5380B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{036BA153-4BB2-4560-BEF4-B7A180C5380B}\InprocServer32]
@="C:\\WINNT\\system32\\HUICONS.DLL"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:\WINNT\SYSTEM32\
atmtd.dll Sun 2 Jul 2006 12:24:24 A.... 687 592 671,48 K
avsda.dll Sun 2 Jul 2006 12:28:38 A.... 57 384 56,04 K
chkdsk.dll Sun 2 Jul 2006 12:28:18 A.... 81 920 80,00 K
enpul1~1.dll Sun 2 Jul 2006 12:30:46 ..S.R 236 243 230,70 K
fpp203~1.dll Sun 2 Jul 2006 12:30:50 ..S.R 236 007 230,47 K
g022la~1.dll Sun 2 Jul 2006 15:53:00 ..S.R 237 024 231,47 K
g2040c~1.dll Sun 2 Jul 2006 13:26:40 ..S.R 234 272 228,78 K
gutext.dll Sun 2 Jul 2006 12:30:48 ..S.R 234 272 228,78 K
hr8m05~1.dll Sun 2 Jul 2006 12:34:42 ..S.R 234 457 228,96 K
huicons.dll Sun 2 Jul 2006 18:38:10 ..S.R 235 804 230,28 K
ijsacct.dll Sun 2 Jul 2006 12:30:54 ..S.R 234 272 228,78 K
irnql5~1.dll Sun 2 Jul 2006 18:38:08 ..S.R 234 025 228,54 K
k2lqlc~1.dll Sun 2 Jul 2006 12:34:44 ..S.R 235 804 230,28 K
kt80l7~1.dll Sun 2 Jul 2006 12:34:38 ..S.R 235 359 229,84 K
kzcc.dll Wed 28 Jun 2006 17:12:20 A.... 139 264 136,00 K
msdtclog.dll Sun 23 Apr 2006 10:01:32 A.... 96 016 93,77 K
msdtcprx.dll Sun 23 Apr 2006 10:01:32 A.... 740 112 722,77 K
msdtctm.dll Sun 23 Apr 2006 10:01:32 A.... 1 202 448 1,14 M
msdtcui.dll Sun 23 Apr 2006 10:01:32 A.... 153 872 150,27 K
msvcp71.dll Tue 16 May 2006 10:38:40 A.... 499 712 488,00 K
mtxclu.dll Sun 23 Apr 2006 10:01:32 A.... 52 496 51,27 K
mtxoci.dll Sun 23 Apr 2006 10:01:32 A.... 123 152 120,27 K
spmsg.dll Sun 23 Apr 2006 16:58:14 ..... 14 560 14,22 K
wenetmgr.dll Sun 2 Jul 2006 12:34:42 ..S.R 234 272 228,78 K
whpcore.dll Sun 2 Jul 2006 12:34:38 ..S.R 234 272 228,78 K
xolehlp.dll Sun 23 Apr 2006 10:01:32 A.... 20 240 19,77 K

26 items found: 26 files (13 H/S), 0 directories.
Total of file sizes: 6 924 851 bytes 6,60 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 607C-E66F

R‚pertoire de C:\WINNT\System32

02/07/2006 18:38 235ÿ804 HUICONS.DLL
02/07/2006 18:38 234ÿ025 irnql5551.dll
02/07/2006 15:52 237ÿ024 g022lafo1d2c.dll
02/07/2006 13:26 234ÿ272 g2040cdqef0e0.dll
02/07/2006 12:34 235ÿ804 k2lqlc351f.dll
02/07/2006 12:34 234ÿ272 wenetmgr.dll
02/07/2006 12:34 234ÿ457 hr8m05l1e.dll
02/07/2006 12:34 234ÿ272 whpcore.dll
02/07/2006 12:34 235ÿ359 kt80l7lm1.dll
02/07/2006 12:30 234ÿ272 iJsacct.dll
02/07/2006 12:30 236ÿ007 fpp2037oe.dll
02/07/2006 12:30 234ÿ272 gutext.dll
02/07/2006 12:30 236ÿ243 enpul1791.dll
29/06/2006 13:59 <DIR> dllcache
13 fichier(s) 3ÿ056ÿ083 octets
1 R‚p(s) 2ÿ330ÿ451ÿ968 octets libres



En attendant la suite des opérations............
A très bientot et encore merci
Personne n'est parfait
Avatar de l’utilisateur
lolotte
 
Messages: 23
Inscription: 16 Fév 2006, 15:22
Localisation: Hte Normandie

Messagede nickW » 02 Juil 2006, 23:30

Bonsoir,

Deuxième partie.


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML, ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".


Étape 1: l2mfix option 2
Fermer toutes les fenêtres, tous les programmes, pas de connexion ouverte: il va y avoir redémarrage.
Ouvrir le dossier l2mfix créé sur le bureau
Double-cliquer sur L2Mfix.bat et choisir l'option 2 Run Fix (taper 2 puis Entrée).
Les icônes du bureau vont disparaître, c'est normal.
L2mfix continue à vérifier le disque dur. Attendre, sans lancer aucun autre programme.
Lorsque le scan est terminé, appuyer sur n'importe quelle touche pour redémarrer.
Après le redémarrage, une fenêtre de notepad va s'ouvrir et afficher un log.
Enregistrer ce log sous le nom l2mfix-2.txt
(n'utiliser aucun autre fichier du dossier l2mfix)
Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-cliquer sur le fichier texte ("log.txt") situé dans le dossier "l2mfix".


Étape 2: Résultat
Envoyer en réponse le log de log de l2mfix (contenu du fichier l2mfix-2.txt) avec un nouveau log HijackThis.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede lolotte » 03 Juil 2006, 19:47

Bonjour,


voici la 2ème partie



L2mfix 051206
Creating Account.
La commande s'est termin‚e correctement.


Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
zip warning: name not matched: dlls\*.*

zip error: Nothing to do! (backup.zip)
updating: backregs/notibac.reg (152 bytes security) (deflated 87%)
updating: backregs/036BA153-4BB2-4560-BEF4-B7A180C5380B.reg (164 bytes security) (deflated 71%)
updating: backregs/shell.reg (152 bytes security) (deflated 74%)
updating: backregs/FC5205CC-26B7-4010-80CC-7485F3575D1A.reg (164 bytes security) (deflated 70%)
adding: backregs/1F071C52-85D6-4C36-BD96-734E27D9B275.reg (164 bytes security) (deflated 70%)
adding: backregs/D9F86755-6473-47C2-8B5A-6CB2DE3C39AE.reg (164 bytes security) (deflated 70%)
______________________________________________________________________________________



Logfile of HijackThis v1.99.1
Scan saved at 20:46:02, on 03/07/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\winlogon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\LVComS.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINNT\system32\internat.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/def ... earch.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://support.free.fr/proxy/pac:8080
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/c ... dot8_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/c ... pyt1_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {E15111B0-95AE-4C05-B91F-F4564057990C} (MovieSystem WAY) - http://servicesv4.moviesystem.com/cabs/msway.cab
O20 - AppInit_DLLs: C:\WINNT\system32\chkdsk.dll
O20 - Winlogon Notify: Media Center - C:\WINNT\system32\irrql5951.dll
O20 - Winlogon Notify: RunOnce - C:\WINNT\system32\sborprop.dll (file missing)
O20 - Winlogon Notify: WebCheck - C:\WINNT\system32\ohe2.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\ZnJhbudvaXMgbWFzcXVlbGllcg\command.exe (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Microsoft Windows Protection (Windows Protection Service) - Unknown owner - C:\WINNT\winlogon.exe



Dans l'attente d'une 3ème partie.......
A très bientot


Ps: Désolé d'avoir posté 2 fois le meme message, mais sur le pc infecté une fois sur 10 impossible d'afficher les pages
Personne n'est parfait
Avatar de l’utilisateur
lolotte
 
Messages: 23
Inscription: 16 Fév 2006, 15:22
Localisation: Hte Normandie

Messagede nickW » 03 Juil 2006, 21:32

Bonsoir,

Au préalable une question:
Est-ce le même PC que lors de l'analyse précédente?


Troisième partie.


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML, ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 3).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".

Étape 1: Look2Me-Destroyer
Télécharger Look2Me-Destroyer.exe (par Atribune) via un clic sur le lien ci-dessous:
http://www.atribune.org/ccount/click.php?id=7
Enregistrer le fichier sur le Bureau.


Étape 2: Ccleaner
Lancer le programme.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 3: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 4: Services
Arrêter et supprimer deux services:

Arrêter le 1er service:
Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à Command Service
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINNT\ZnJhbudvaXMgbWFzcXVlbGllcg\command.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK

Supprimer ce service:
Démarrer---->Exécuter
taper exactement
sc*delete*cmdService
(la * représente un espace)
puis cliquer sur OK
Noter le message qui s'affiche (succès ou échec).


Arrêter le 2nd service:
Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à Microsoft Windows Protection
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINNT\winlogon.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK

Supprimer ce service:
Démarrer---->Exécuter
taper exactement
sc*delete*"Windows Protection Service"
(la * représente un espace)
puis cliquer sur OK
Noter le message qui s'affiche (succès ou échec).


Étape 5: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" (ou "Scanner seulement" en vf)
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items" (ou "Proteger les objets avt de fixer" en vf), puis cliquer sur le bouton "Back" (ou "Ret" en vf).
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked (ou Fixer objet en vf):
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab
O20 - AppInit_DLLs: C:\WINNT\system32\chkdsk.dll
O20 - Winlogon Notify: RunOnce - C:\WINNT\system32\sborprop.dll (file missing)--->Ajouté par Look2Me
O20 - Winlogon Notify: WebCheck - C:\WINNT\system32\ohe2.dll (file missing)--->Ajouté par Look2Me
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\ZnJhbudvaXMgbWFzcXVlbGllcg\command.exe (file missing)
O23 - Service: Microsoft Windows Protection (Windows Protection Service) - Unknown owner - C:\WINNT\winlogon.exe



Étape 6: Renommage
Note: certains éléments seront peut-être absents, les noter et les signaler en réponse, après la fin de l'ensemble des étapes
Renommer (clic droit sur le nom du fichier) les fichiers ci-dessous en ajoutant .non derrière leur extension:

C:\WINNT\winlogon.exe (à renommer en winlogon.exe.non)--->Faire très attention au nom exact du dossier, ne pas aller dans le dossier C:\WINNT\System32
C:\WINNT\system32\chkdsk.dll (à renommer en chkdsk.dll.non)



Étape 7: Redémarrage
Redémarrer en mode normal.


Étape 8: Look2Me-Destroyer
Bien lire la note importante ci-dessous.

Fermer toutes les fenêtres de programme.
Faire un double clic sur Look2Me-Destroyer.exe pour lancer le programme.
Cocher la case située devant Run this program as a task.
Il y a affichage d'un message disant que Look2Me-Destroyer va se fermer puis se rouvrir dans à peu près 1 minute (Look2Me-Destroyer will close and re-open in approximately 1 minute). Cliquer sur OK.
Lorsque Look2Me-Destroyer se rouvre, cliquer sur le bouton Scan for L2M. Les icônes du Bureau vont disparaître, c'est normal.
Lorsque le balayage (scan) est terminé, cliquer sur le bouton Remove L2M.
Il y a affichage d'un message Done Scanning, cliquer sur OK.
Quand c'est terminé, il y a affichage d'un message signalant que les fichiers infectés ont été supprimés, et que Look2Me-Destroyer va arrêter l'ordinateur (Done removing infected files! Look2Me-Destroyer will now shutdown your computer), cliquer sur OK.
L'ordinateur va s'éteindre.
Rallumer l'ordinateur.
Envoyer en réponse le contenu du fichier Look2Me-Destroyer.txt trouvé sur le Bureau et un nouveau log HijackThis.

Note importante:
Si Look2Me-Destroyer ne se rouvre pas au bout de la minute, redémarrer l'ordinateur et recommencer.


Étape 9: Résultats
Envoyer en réponse
*- le log de log de Look2Me-Destroyer (contenu du fichier Look2Me-Destroyer.txt)
*- le résultat de la suppression des deux services
*- un nouveau log HijackThis.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

3ème partie

Messagede lolotte » 03 Juil 2006, 23:19

Bonsoir, Bonjour ( mais comment vit on ! Mouaaarrrrffffffff )


Au préalable une question:
Est-ce le même PC que lors de l'analyse précédente

Que veux tu dire par là ? analyse précédente , même pc


voici les résultats



Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 03/07/2006 23:53:09

Infected! C:\WINNT\system32\mv00l9dm1.dll
Infected! C:\WINNT\system32\dnrq0195e.dll
Infected! C:\WINNT\system32\enpul1791.dll
Infected! C:\WINNT\system32\fpp2037oe.dll
Infected! C:\WINNT\system32\g022lafo1d2c.dll
Infected! C:\WINNT\system32\g2040cdqef0e0.dll
Infected! C:\WINNT\system32\gutext.dll
Infected! C:\WINNT\system32\h2j40c1qef.dll
Infected! C:\WINNT\system32\hr8m05l1e.dll
Infected! C:\WINNT\system32\iJsacct.dll
Infected! C:\WINNT\system32\irn6l55s1.dll
Infected! C:\WINNT\system32\iyxsap.dll
Infected! C:\WINNT\system32\kt80l7lm1.dll
Infected! C:\WINNT\system32\kzdes.dll
Infected! C:\WINNT\system32\lvls0937e.dll
Infected! C:\WINNT\system32\o0pqla751d.dll
Infected! C:\WINNT\system32\qjgrprxy.dll
Infected! C:\WINNT\system32\wenetmgr.dll
Infected! C:\WINNT\system32\whpcore.dll
Infected! C:\WINNT\system32\wrnotify.dll

Attempting to delete infected files...

Attempting to delete: C:\WINNT\system32\dnrq0195e.dll
C:\WINNT\system32\dnrq0195e.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\enpul1791.dll
C:\WINNT\system32\enpul1791.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\fpp2037oe.dll
C:\WINNT\system32\fpp2037oe.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\g022lafo1d2c.dll
C:\WINNT\system32\g022lafo1d2c.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\g2040cdqef0e0.dll
C:\WINNT\system32\g2040cdqef0e0.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\gutext.dll
C:\WINNT\system32\gutext.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\h2j40c1qef.dll
C:\WINNT\system32\h2j40c1qef.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\hr8m05l1e.dll
C:\WINNT\system32\hr8m05l1e.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\iJsacct.dll
C:\WINNT\system32\iJsacct.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\irn6l55s1.dll
C:\WINNT\system32\irn6l55s1.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\iyxsap.dll
C:\WINNT\system32\iyxsap.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\kt80l7lm1.dll
C:\WINNT\system32\kt80l7lm1.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\kzdes.dll
C:\WINNT\system32\kzdes.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\lvls0937e.dll
C:\WINNT\system32\lvls0937e.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\o0pqla751d.dll
C:\WINNT\system32\o0pqla751d.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\qjgrprxy.dll
C:\WINNT\system32\qjgrprxy.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\wenetmgr.dll
C:\WINNT\system32\wenetmgr.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\whpcore.dll
C:\WINNT\system32\whpcore.dll Deleted successfully!

Attempting to delete: C:\WINNT\system32\wrnotify.dll
C:\WINNT\system32\wrnotify.dll Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ShellScrap

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{73664E56-17F5-4D47-B180-B93AD1286F25}"
HKCR\Clsid\{73664E56-17F5-4D47-B180-B93AD1286F25}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{4CEE3E91-A086-4682-8C01-BCD3D7D7740A}"
HKCR\Clsid\{4CEE3E91-A086-4682-8C01-BCD3D7D7740A}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administrateurs - Succeeded
__________________________________________________________________________


Logfile of HijackThis v1.99.1
Scan saved at 00:06:49, on 04/07/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\LVComS.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINNT\system32\internat.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/def ... earch.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://support.free.fr/proxy/pac:8080
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINNT\system32\qomnlih.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/c ... dot8_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/c ... pyt1_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {E15111B0-95AE-4C05-B91F-F4564057990C} (MovieSystem WAY) - http://servicesv4.moviesystem.com/cabs/msway.cab
O20 - Winlogon Notify: qomnlih - C:\WINNT\SYSTEM32\qomnlih.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

________________________________________________________________


sc*delete*cmdService (fichier introuvable)
sc*delete*"Windows Protection Service" (fichier introuvable)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\ZnJhbudvaXMgbWFzcXVlbGllcg\command.exe (file missing) (ligne absente)

O23 - Service: Microsoft Windows Protection (Windows Protection Service) - Unknown owner - C:\WINNT\winlogon.exe (ligne absente)

C:\WINNT\winlogon.exe (élément absent)
C:\WINNT\system32\chkdsk.dll (élément absent)


Bon beh voila je crois que je n'ai rien oublié,
Dans l'attente de te lire à nouveau, a bientot et merci encore de ton aide
Personne n'est parfait
Avatar de l’utilisateur
lolotte
 
Messages: 23
Inscription: 16 Fév 2006, 15:22
Localisation: Hte Normandie

Messagede nickW » 03 Juil 2006, 23:53

Bonsoir/jour,

Je parle de ce sujet
Il y a une p'tite différence: passage de Windows XP à Windows 2000!



Quatrième partie.


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML, ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".


VundoFix
Télécharger VundoFix.exe (par Atribune) depuis:
http://www.atribune.org/ccount/click.php?id=4
Enregistrer le fichier sur le bureau.
Lancer le programme en faisant un double clic sur VundoFix.exe
Cocher Run VundoFix as a task.
Sur le message d'avertissement selon lequel l'outil va se fermer et s'ouvrir à nouveau cliquer sur Ok.
Lorsque VundoFix se ré-ouvre, cliquer sur le bouton Scan for Vundo
Lorsque le balayage (scan) est terminé, cliquer sur le bouton Remove Vundo
Cliquer sur YES sur l'invite de demande de suppression de fichiers
Le Bureau va disparaître un moment lors de la suppression des fichiers
Une fenêtre annonce que le PC va s'éteindre ("shutdown"): cliquer sur OK
Rallumer le PC

Envoyer en réponse le contenu du fichier rapport C:\vundofix.txt ainsi qu'un nouveau log HijackThis

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

suite

Messagede lolotte » 04 Juil 2006, 08:26

Bonjour,



Lorsque VundoFix se ré-ouvre, cliquer sur le bouton Scan for Vundo ==>>> mais la il ne se ré-ouvre pas, dois je le relance et faire Scan for Vundo ?


Dans l'attente, merci
Personne n'est parfait
Avatar de l’utilisateur
lolotte
 
Messages: 23
Inscription: 16 Fév 2006, 15:22
Localisation: Hte Normandie

Messagede nickW » 04 Juil 2006, 12:09

Bonjour,

Toujours pas de réponse:
Est-ce le même PC que lors de l'analyse précédente (avec passage de Windows XP à Windows 2000)?


Peux-tu essayer une nouvelle fois d'utiliser VundoFix, et si cela ne fonctionne pas, tu vas utiliser un autre outil:

Quatrième partie - bis.


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML, ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur".


Étape 1: VirtumundoBegone
Télécharger VirtumundoBegone depuis:
http://secured2k.home.comcast.net/tools ... BeGone.exe
Enregistrer le fichier sur le bureau.

Fermer toutes les fenêtres, tous les programmes, pas de connexion ouverte: il va y avoir redémarrage.

Lancer le programme en faisant un double clic sur VirtumundoBeGone.exe
Suivre les instructions (Cliquer sur Run si demandé, cliquer sur Start, puis sur Yes).

Lorsque l'outil a terminé, redémarrer.
Ne pas s'inquiéter s'il y a un message "Erreur fatale" avec Ecran bleu (BSOD), c'est normal et attendu. Redémarrer.


Étape 2: Résultat
Envoyer en réponse le contenu du fichier VGB.txt (trouvé sur le Bureau) avec un nouveau rapport HijackThis.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: MSN [Bot] et 10 invités