Fichier recalcitrant (qui contient une cochonerie)

salut j’ai un ptit souci depuis q jours,

je me suis chopé une barre de recherche malware que j’ai reussi a desinstallé, mais depuis j’ai toutes les 5 ou 10 minutes un message “bidon” qui m’invite a proteger mon pc contre les spywares, j’ai tout essayé, spybot, microsoft anti spyware, ad aware, et trend micro, rien a faire quand ils arrivent sur le fichier:

C:\Documents and Settings\fred\Local Settings\Temp\Temporary Internet Files\Content.IE5\MF614VUZ

ils plantent tous, quand j’essaye de l’effacer a la main, explorer plante aussi, quand j’utilise l’explorateur windows ou acdsse ou l’outil de recherche windows ils plantent tous. en fait des que je touche a ce fichier de quelque facon que ce soit ca me tue explorer et le refait demarer. j’ai essayé en mode sans echec, c’est pareil. et dans l’explorateur des taches je ne trouve pas le programme qui utilise ce fichier.
par contre j’ai trouvé ca dans la base de registre. j’efface je renomme ? vos avis ? merci

http://img355.imageshack.us/img355/4825/fond3di.jpg

salut,

essaye ceci :

    []Demarrer -> Executer -> CMD[]Ouvre le gestionnaire de tache (clique droit sur la barre des taches)[]Tu kill le processus suivant : explorer.exe[]ALT+TAB pour acceder a la console ms-dos[*]Tu tape ceci :
    del /s /q "C:\Documents and Settings\fred\Local Settings\Temp\Temporary Internet Files\Content.IE5\MF614VUZ"
    
    

    N’oublie pas les “” c’est important[]Une fois que c’est supprimer, ALT+TAB pour revenir au gestionnaire de taches[]Fichier -> Nouvelle Taches -> Explorer

Voila, j’espere que ca va t’aider a resoudre ton probleme

Salut,

non, ça ne servira à rien d’effacer ce que tu montres dans la copie d’écran . C’est une clé mru ( mru = most recent used = recemment utilisé ) . Je pense que dans cette clé sont les mots dont tu as fait une recherche .

Pour un probleme comme ça , il faut utiliser le programme HijackThis.
Télécharger Hijackthis. C’est un programme qui va lister les clés du registre qui semblent poser probleme.
Une fois téléchargé, il faut le mettre dans son propre dossier, donc créer au préalable un dossier ( C:\HijackThis ) .

Pour le télécharger:
sur le site de l’auteur:
http://www.spywareinfo.com/~merijn/index.html ( rubrique : download )
ou ici :
http://www.majorgeeks.com/downloads31.html

Le principe sera de cocher les clés suspectes et appuyer sur le bouton ‘Fix Checked’, le tout en mode sans échec, et sans navigateur Internet ouvert.

Une fois téléchargé :
execute-le en demandant “Do a scan and save log file”.
Ensuite, tu ouvres le fichier de log avec le bloc-note , tu copies l’ensemble des lignes et tu les colles ici dans le forum

Pour l’instant, donne-nous le log HJT et on en parlera

merci de votre coup de main

ptit nonoz j’ai essayé ta technique mais ca me dit que le chemin specifié est introuvable, pourtant j’ai bien tapé et verifier qu’il n’yavait pas d’erreur

j’ai aussi essayé de l’effacer en passant par l’ordi de ma copine en reseau et en coupant explorer mais ca me dit que le fichier est protegé et que je ne peux pas le supprimer, par contre je peux voir ce qu’il y’a dedands avec cette technique.

pour le fichier log de hijackthis ca donne ca:

Logfile of HijackThis v1.97.7
Scan saved at 12:01:02, on 14/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Fred\Mes documents\CD ROM\programmes\PROTECTION\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clubic.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\afycd.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {1045ED86-9ECB-1728-DF35-41AD09A6162D} - MONITER.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Program Files\Popup Manager\PopupMgr_1.0.1.5.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\…\Run: [ATIPTA] “C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe”
O4 - HKLM\…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\…\Run: [iezw32.exe] C:\WINDOWS\system32\iezw32.exe
O4 - HKLM\…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM\…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM\…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\…\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKCU\…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - HKCU\…\Run: [powerdll] SysSupport.exe
O4 - HKCU\…\Run: [prcmon] sound64.exe
O4 - HKCU\…\Run: [killall] ms-its.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O8 - Extra context menu item: Télécharger avec FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - D:\Program Files\FlashGet\jc_all.htm
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra ‘Tools’ menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra ‘Tools’ menuitem: Windows Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa…director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6…922/wmv9VCM.CAB
O16 - DPF: {4B48D5DF-9021-45F7-A240-60304302A215} (Malicious Software Removal Tool) - http://download.microsoft.com/download/b/d…/WebCleaner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/…b?1123872485514
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa…ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\…\{4B49F4FB-4BF3-48D4-9A0A-55E9C8657D93}: NameServer = 69.50.161.131,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\…\{6B683AF6-5308-4B76-9484-1507419C1F17}: NameServer = 69.50.161.131,85.255.112.14

sinon j’ai tout ca qui se lance au demarrage, le coupable est peut etre par la non ? j’ai deja desactivé clamav.exe et abrek.exe ca devait etrte des reste de la searchbar.

http://img359.imageshack.us/img359/6202/winpatrol1go.jpg

Pas très beau tout ça… :smiley:

Normaux, mais tu peux les virer :

  • Quicktime -> dans ses options
  • Adobe Game -> Menu Demarrer/Demarrage
  • SC_Reader (“accelerateur” d’Adobe) -> Menu Demarrer/Demarrage

Douteux :

  • prcmon -> sound64.exe
  • killall -> ms-its.exe
  • ERTYDF -> abrek.exe

Pour HijackThis:

la version n’est pas du tout à jour
il y a : v1.97.7
il faut: v1.99.1

D’autre part, je vois que HJT est installé ici:
D:\Fred\Mes documents\CD ROM\programmes\PROTECTION\HijackThis.exe
Je préconisais de l’installer dans son propre dossier ( c’est pour sa gestion interne et ses backup)

mais déja je vois du about:blank et il me semble qu’il y a un spyware tenace qui s’appelle et se déguise comme ça

Peux-tu refaire ton HJT

merci AdminOfPlaygroup pour les normaux que je peux virer, pour les autres ce n’est toujours pas ca, je les aient desactivés mais ca ne change rien,

donc rebelotte avec la derniere version extraite dans son dossier du meme nom

Logfile of HijackThis v1.99.1
Scan saved at 13:26:20, on 14/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Fred\Mes documents\CD ROM\programmes\PROTECTION\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clubic.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {1045ED86-9ECB-1728-DF35-41AD09A6162D} - MONITER.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Program Files\Popup Manager\PopupMgr_1.0.1.5.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\…\Run: [ATIPTA] “C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe”
O4 - HKLM\…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\…\Run: [iezw32.exe] C:\WINDOWS\system32\iezw32.exe
O4 - HKLM\…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM\…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM\…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O8 - Extra context menu item: Télécharger avec FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - D:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/…b?1123872485514
O17 - HKLM\System\CCS\Services\Tcpip\…\{4B49F4FB-4BF3-48D4-9A0A-55E9C8657D93}: NameServer = 69.50.161.131,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\…\{6B683AF6-5308-4B76-9484-1507419C1F17}: NameServer = 69.50.161.131,85.255.112.14
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

lignes à cocher:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R3 - URLSearchHook: (no name) - {1045ED86-9ECB-1728-DF35-41AD09A6162D} - MONITER.dll (file missing)
O4 - HKLM\…\Run: [iezw32.exe] C:\WINDOWS\system32\iezw32.exe

Pour les 2 lignes O17:
vérifie que les adresses TCP/IP sont bien de ton Fournisseur d’accès Internet

La manip:

  • démarrer en mode sans echec

  • appeler Hijackthis

  • cocher les cases ci-dessus

  • appuyer sur FIX Checked

  • supprimer les fichiers internet temporaires, les cookies

  • supprimer le fichier douteux iezw32.exe

  • relancer le Pc en mode normal

  • re-appeler HijackThis pour comparer

Nota sur Microsoft anti-spyware:

ce programme a le moyen de réinitialiser les défauts de IE ( start page, search page etc etc)
c’est dans :
Tools > advanced tols > system explorer > I.E settings > bouton ‘Restore all I.E defauts’
ensuite tu peux remettre Clubic en page de démarrage

Et si il veut mettre perdu.com en page de démarrage :MDR

Toujours est-il que je ne savais pas que l’outil de M$ permettai de restaurer les parametres par defaut de IE. Mais bon, cela ne me concerne pas puisque j’utilise Mozilla FF (non pas Final Fantasy, FireFox :ane: )

P.S : Desoler pour ma methode foireuse, je pensai que ca pouvai marcher, je n’ai pas penser a un spyware :confused:

ok merci je test ca, verdict bientot :slight_smile: merci