Trojan-spy.html.smitfraud.c

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Trojan-spy.html.smitfraud.c

Messagede Gringo » 03 Juin 2005, 18:52

Bonjour,
je viens d'attraper ce virus trojan-spy.html.smitfraud.c et j'ai suivi la procédure de hijackthis voici mon fichier logfile ci quelqu'un pourrait m'aider.

je vous remercie par avance.

Voici le logfile et bon week end à tous

Logfile of HijackThis v1.99.1
Scan saved at 19:49:18, on 03/06/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAM FILES\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\MMKEYBD.EXE
C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\KEYBDMGR.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAM FILES\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\PROGRAM FILES\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\MMUSBKB2.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\MSOLE32.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HPSYSDRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\FRIENDLY TECHNOLOGIES\BROADBANDACCESS\FTS.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\MSMSGS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\HOOKDUMP.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\SNDSRVC.EXE
C:\PROGRAM FILES\BACKWEB\BACKWEB\PROGRAM\BWDELAY.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\BUREAU\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=12345
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {840011101990211011083097083114101051} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPScanPatch] C:\WINDOWS\SYSTEM\HPScanFix.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Delay] C:\WINDOWS\delayrun.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [hpppta] C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [StartCpl] DTOURS.exe
O4 - HKLM\..\Run: [atl_helper] defect08.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Symantec Core LC] C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Keyboard Manager] C:\Program Files\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [NPFMonitor] C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [control64] xsetup.exe
O4 - HKCU\..\Run: [progmen] lpt.exe
O4 - HKCU\..\Run: [jopplerg] AliceSD.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\SYSTEM\hookdump.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {8EB57614-5EB4-49B3-BC5B-68D40E934A42} - C:\WINDOWS\SYSTEM\WLDR.DLL
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {8EB57614-5EB4-49B3-BC5B-68D40E934A42} - C:\WINDOWS\SYSTEM\WLDR.DLL
O9 - Extra button: Microsoft AntiSpyware helper - {8EB57614-5EB4-49B3-BC5B-68D40E934A42} - C:\WINDOWS\SYSTEM\WLDR.DLL (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {8EB57614-5EB4-49B3-BC5B-68D40E934A42} - C:\WINDOWS\SYSTEM\WLDR.DLL (HKCU)
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by1fd.bay1.hotmail.msn.com/resou ... nPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/se ... r_cert.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\itfmkfgn.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31
Gringo
 

Messagede pierre » 03 Juin 2005, 21:21

Bonjour,

On va devenir les spéblurpte de ce truc !
Suit cette procédure contre smitfraud puis poste un nouveau log hijackthis pour que l'on s'occupe du reste.
http://assiste.forum.free.fr/viewtopic.php?t=7231

A+
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28384
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede nickW » 03 Juin 2005, 22:15

Bonsoir,



Désinstaller Wareout, qui est sur la liste des produits scélérats/suspects
http://www.spywarewarrior.com/rogue_anti-spyware.htm


  1. Si ce n'est déjà fait, désactivez les points de restauration du système
    Uniquement si votre système supporte cette fonctionnalité, c'est à dire si vous êtes sous Windows me ou XP.
    http://assiste.com.free.fr/p/comment/ac ... ration.php
  2. Si ce n'est déjà fait, réglez votre antivirus et votre anti-trojans au maximum
    http://assiste.com.free.fr/p/comment/an ... aximum.php
  3. Si ce n'est déjà fait, faites en sorte de tout voir


  4. Désinstaller certains parasites avec leurs propres uninstall

    Aller dans Panneau de configuration > "Ajouter et Supprimer des programmes"
    Désinstaller les applications suivantes si elles existent
    Security IGuard
    Virtual Maid
    Search Maid
    Spyware Vanisher

    Nota:
    Ce genre de désinstalleur est souvent un leurre ne désinstallant rien, voire installant d'autres parasites.

    Quittez "Ajouter et Supprimer des programmes"
    Quittez le panneau de configuration

    Télécharger smitfraud.reg
    Faire un clic droit (bouton droit de la souris) et choisissez "Enregistrer sous"
    Enregistrez-le dans un endroit aisé à retrouver (par exemple directement sur le bureau ou dans c:\smitfraud.reg)
    http://www.bleepingcomputer.com/files/reg/smitfraud.reg

    Localiser ce fichier smitfraud.reg avec l'explorateur de Windows et faire un double clic dessus.
    A la demande si vous voulez fusionner avec la base de registre, répondez "Oui".
    Attendre l'affichage de la réussite de la fusion.

    Télécharger un utilitaire nommé TheKillbox
    http://www.downloads.subratam.org/KillBox.zip

    Dézippez le dans un répertoire

    Lancez Killbox d'un double clic sur Killbox.exe
    Ne touchez à aucun bouton. Sélectionner simplement "Delete on reboot"

    Ne fermez pas Killbox.

    Ouvrez Notepad "le bloc-notes de Windows" (Démarrer > Tous les programmes > Accessoires > Bloc-Notes)

    Si vous êtes sous Windows 95/98/Me, sélectionnez la liste de fichiers ci-après, copiez-la, coller-la dans Notepad.
    C:\wp.exe
    C:\wp.bmp
    C:\bsw.exe
    C:\Windows\sites.ini
    C:\Windows\popuper.exe
    C:\Windows\System\hhk.dll
    C:\Windows\System\wldr.dll
    C:\Windows\System\helper.exe
    C:\Windows\System\intmon.exe
    C:\Windows\System\shnlog.exe
    C:\Windows\system32\perfcii.ini
    C:\Windows\System\intmonp.exe
    C:\Windows\System\msmsgs.exe
    C:\Windows\System\msole32.exe
    C:\Windows\System\ole32vbs.exe


    Maintenant, recherchez une variante possible, dans C:\Windows\System, d'un fichier nommé hp*.tmp (dans lequel * est une chaîne de caractères aléatoires). Le fichier peut, par exemple, s'appeler
    C:\WINDOWS\system\hp1400.tmp
    Ce fichier s'installe en tant que BHO dans Internet Explorer, vous hijack pour vous rediriger vers quicknavigate.com et détruit tous les autres BHOs que vous pourriez avoir, légitimes ou non.
    Si vous l'avez trouvé, ajoutez son chemin d'accès complet à la liste des fichiers ci-dessus, dans Notepad.

    Maintenant, dans Notepad, faites un clic droit > Sélectionner tout > Clic droit > Copier

    Retournez dans Killbox. Allez dans le menu "File" et sélectionner "Paste from Clipboard"

    Toujours dans KillBox, faites un clic sur le bouton rouge et blanc "Delete File". Clic sur Yes à la demande "Delete on Reboot". Clic sur No pour les autres demandes d'opérations.

    Si votre ordinateur ne redémarre pas automatiquement, le redémarrer manuellement.
    Dans tous les cas, il faut redémarrer en mode "Sans échec".
    http://assiste.com.free.fr/p/comment/de ... _echec.php
    Ceci permet de s'assurer que le minimum de services et de processus sont lancés, en particulier, nous cherchons à éviter un maximum de chargement et démarrage de processus parasites ainsi que de processus de sécurité qui pourraient interférer avec la décontamination car nous allons modifier des clés de la base de registre : vous ne devez donc pas avoir de processus qui surveillent la base de registre et seraient susceptibles de restaurer les clés que nous allons modifier ou supprimer.

    Avec l'explorateur de Windows, localiser et détruire les répertoires suivants (ne pas utiliser l'outil de recherche de l'explorateur de Windows car il ne les verrait pas).
    Classeurs à détruire, s'ils existent (en maintenant la touche Ctrl enfoncée de manière à éviter qu'ils n'atterrissent dans la poubelle d'où ils pourraient ressortir).

    C:\Program Files\Search Maid
    C:\Program Files\Virtual Maid
    C:\Windows\System32\Log Files
    C:\Program Files\Security IGuard
    C:\Program Files\Spyware Vanisher
  5. Si ce n'est déjà fait, videz complètement tous les caches et fichiers temporaires.
    Le plus simple : utilisez CCleaner (gratuit)
    http://assiste.com.free.fr/p/internet_u ... leaner.php

    Si son utilisation est impossible actuellement, videz (effacez tout le contenu) à la main, en les localisant avec l'explorateur de Windows, les répertoires
    C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temporary Internet Files\
    C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temporary Internet Files\
    C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temp\
    C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temp\

    Videz les répertoires temporaires
    Si vous êtes sous Windows 95/98/Me/XP, videz
    C:\Windows\Temp\

  6. Si ce n'est déjà fait, détruisez tous les cookies inconnus ou inutiles
    Utilisez SpyBot Search & Destroy (gratuit)
    http://assiste.com.free.fr/p/internet_u ... estroy.php
  7. Si ce n'est déjà fait, videz la corbeille (y compris si elle est protégée par Norton)
    Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
  8. Si ce n'est déjà fait, fermez absolument toutes les fenêtres
    dont toutes les instances d'Internet Explorer et toutes les instances de l'explorateur de Windows, toutes les instances du bloc-note de Windows (NotePad) etc. ...
    Pour bien faire, vous devriez imprimer ceci et fermer cette instance de votre navigateur que vous êtes en train d'utiliser pour me lire. Ceci ne s'applique que si vous utilisez Internet Explorer - si vous lisez ceci avec Mozilla Suite ou Mozilla Firefox ou Opera, vous pourrez réouvrir votre navigateur après le point 10.
  9. Toujours en mode sans échec
  10. Exécutez votre antivirus, réglé au maximum
    Si vous avez un antivirus, utilisez-le, sinon téléchargez BitDefender Pro ou Kaspersky AVP maintenant.
    http://assiste.com.free.fr/p/internet_u ... ivirus.php
    http://assiste.com.free.fr/p/internet_u ... ivirus.php

    L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont analysés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Analysez et détruisez tous les fichiers contaminés trouvés. Les antivirus ne sont pas des anti-spywares (anti-trojans).
  11. Exécutez votre anti-spyware (anti-trojans), réglé au maximum.
    Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro ou Microsoft Antispywares maintenant.
    http://assiste.com.free.fr/p/internet_u ... patrol.php
    http://assiste.com.free.fr/p/internet_u ... res/a2.php
    http://assiste.com.free.fr/p/internet_u ... leaner.php
    http://assiste.com.free.fr/p/internet_u ... pyware.php

    L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum.
    Voir, également, le mode d'emploi de PestPatrol en français à
    http://assiste.com.free.fr/p/internet_u ... rol_v4.php
  12. Videz à nouveau la corbeille (y compris si elle est protégée par Norton)
    Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
    Pour prévenir le cas ou votre antivirus (ou votre anti-trojans) aurait mis quelque chose à la poubelle.
  13. Faites une sauvegarde de la base de registre
    http://assiste.com.free.fr/p/comment/sa ... gistre.php
  14. Paramétrez HijackThis
    Cliquez sur le bouton "Do a system scan only" (Faire un scan uniquement)
    Cliquez sur le bouton "Config..." (Configurer)
    Cocher la case "Make backups before fixing items"" (Faire des sauvegardes avant de corriger)
    Cliquez sur le bouton "Back" (retour arrière)
  15. Toujours en mode sans échec :

Fixer, avec HijackThis, les lignes suivants (si elles existent encore)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=12345
O2 - BHO: (no name) - {840011101990211011083097083114101051} - (no file)
O4 - HKLM\..\Run: [StartCpl] DTOURS.exe
O4 - HKLM\..\Run: [atl_helper] defect08.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [control64] xsetup.exe
O4 - HKCU\..\Run: [progmen] lpt.exe
O4 - HKCU\..\Run: [jopplerg] AliceSD.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\SYSTEM\hookdump.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\itfmkfgn.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exe

Renommer le fichier
C:\Program Files\Internet Explorer\itfmkfgn.exe en itfmkfgn.exe_

Rechercher puis renommer les fichiers
DTOURS.exe en DTOURS.exe_
defect08.exe en defect08.exe_

Redémarrer en mode normal
Pour l'instant, ne pas restaurer ce qui a été inhibé (surveillance temps réel de la base de registre, contrôleurs d'intégrité, points de restauration du système...). Nous restaurerons tout cela lorsque tout sera clean.

Nettoyage final
Repassez un coup de CCleaner (déjà vu au point 5)
http://assiste.com.free.fr/p/internet_u ... leaner.php

Redémarrer en mode normal

Nouveau log HijackThis
Refaire un log HijackThis et le poster.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 40 invités