Forum Clubic

Problème avec un virus - un virus un peu trop collant

Bonjour, j’ai un problème avec un virus qui aime bien mon PC.
Tout a commencé jeudi soir, je naviguais sur internet, et mon PC est devenu super lent; je l’ai donc redémarré mais à ma grande surprise au démarrage le PC etait encore plus lent et mon fond d’écran avait changé. Un message sur fond bleu a fait son apparition, le voici:
SPYWARE INFECTION your system is infected with spywares.Windows recommend you to use a spywares removal tool to prevent loss of important data and increase system performance. Using it PC before having it cleaned from spywares threats is hightly discouraged. Et il est impossible de changer cet arriere plan car les options de la configuration du bureau sont bloqués.
De plus mon PC a une nouvelle manie: il s’éteint tout seul.
Du coup j’utilise la blinde de logiciel tel que avast antivirXp, Norton, kerio et autre logiciel pour me débarasser de cette saloperie et antivirXp découvre un trojan dans le fichié nommée “mspostsp.exe” situé dans system32, je lui demande de l’effacer ou de le réparer mais rien à faire , a chaque fois, ce truc revient.
J’ai aussi constaté que à chaque fois que AntivirXp ou Kério le trouve il ne me reste que quelque seconde avant que mon PC ne redémarre…
Apparemment le trojan s’appelle sysmatin.2
Merci de me donner un coup de pouce!!!
Fréd

:wink:
Télécharge Hijackthis 1.99.1

  • Enregistrer/ créer 1 dossier dédié - ex : C: \HijackThis\Hijackthis.exe (important!)
  • Le lancer -> " Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée (onglet Main)>>Save log
  • Récupérer ce Log/texte avec le bloc notes.
  • Le copier/coller ici

@+

Logfile of HijackThis v1.99.1
Scan saved at 20:29:14, on 21/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
E:\ANTIVIRUS\ANTIVIRXP\AVGUARD.EXE
E:\ANTIVIRUS\Avast4\aswUpdSv.exe
E:\ANTIVIRUS\Avast4\ashServ.exe
E:\ANTIVIRUS\AntiVirXp\AVWUPSRV.EXE
E:\Systeme\Kério\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Systeme\Kério\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
E:\ANTIVIRUS\Avast4\ashMaiSv.exe
E:\Systeme\Kério\Personal Firewall 4\kpf4gui.exe
E:\ANTIVIRUS\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\MSI\Live Update 3\LMonitor.exe
E:\ANTIVI~1\Avast4\ashDisp.exe
E:\ANTIVIRUS\AntiVirXp\AVGNT.EXE
E:\CyberLink DVD\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
E:\systeme\WINPAT~1\winpatrol.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\MSI\3DTurbo\3D!Turbo.exe
E:\MSI\MSI SecureDoc\Logon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\BinarySense\HDDlife\HDDlifePro.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Fichiers d’installations\Sécurité\Antivirus\Nouveau dossier\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.254.253:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [nwiz] nwiz.exe /install
O4 - HKLM\…\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\…\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\…\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\…\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\…\Run: [avast!] E:\ANTIVI~1\Avast4\ashDisp.exe
O4 - HKLM\…\Run: [AVGCtrl] “E:\ANTIVIRUS\AntiVirXp\AVGNT.EXE” /min
O4 - HKLM\…\Run: [RemoteControl] “E:\CyberLink DVD\PowerDVD\PDVDServ.exe”
O4 - HKLM\…\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM\…\Run: [WinPatrol] e:\systeme\WINPAT~1\winpatrol.exe
O4 - HKLM\…\Run: [gcasServ] “C:\Program Files\Microsoft AntiSpyware\gcasServ.exe”
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU\…\Run: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O4 - Startup: HDDlife.lnk = C:\Program Files\BinarySense\HDDlife\HDDlifePro.exe
O4 - Startup: RegFreeze.lnk = E:\Internet\RegFreeze\regfreeze.exe
O4 - Global Startup: 3D!Turbo Experience.lnk = E:\MSI\3DTurbo\3D!Turbo.exe
O4 - Global Startup: Microsoft Office.lnk = E:\OFFICE XP\Office10\OSA.EXE
O4 - Global Startup: SecureDoc.lnk = E:\MSI\MSI SecureDoc\Logon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111…all/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse…pDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\…\{1ECA2E8D-8EDD-4F5A-B2FB-902881E0C159}: NameServer = 192.168.254.253,213.244.0.15
O17 - HKLM\System\CS1\Services\Tcpip\…\{1ECA2E8D-8EDD-4F5A-B2FB-902881E0C159}: NameServer = 192.168.254.253,213.244.0.15
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\ANTIVIRUS\ANTIVIRXP\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\ANTIVIRUS\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\ANTIVIRUS\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\ANTIVIRUS\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\ANTIVIRUS\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\ANTIVIRUS\AntiVirXp\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - E:\Systeme\Kério\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Merco de m’aider

Télécharger Ewido
http://www.ewido.net/en/download/

Analyser un fichier seul (pour tes exes des lignes 04)
sur le site de Kasper recherhcer chaque fichier des lignes 04 et lancer l’analyse
http://www.kaspersky.com/scanforvirus

=========== =============== ============== =========

1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

2) affiche les dossiers cachés (important) (tu en auras besoin pour trouver la dll de la ligne 020)
Démarrer > Panneau de Configuration > Options des Dossiers >onglet Affichage > Dans la liste des “Paramètre avancés” sous la rubrique “Fichiers et dossiers cachés”
*[activer] “Afficher les fichiers et dossiers cachés”
*[désactiver] la case " Masquer les extensions des fichiers dont le type est connu"
*[désactiver] la case “Masquer les fichiers protégés du système d’exploitation”

3) passe en mode sans échec (impératif)
voir/Touche F8 (ou F5)…
http://service1.symantec.com/SUPPORT/INTER…020325143456924

============== ============= ============= ============

à partir d’ici tu es en mode sans échec

  • Lance Ewido - scanne ta machine - copie/colle le résultat/ sauvegarde (log texte) ici

  • Ouvre la Killbox et copie colle la dll …etc…

  • Re-Lance Hijackthis -->" Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée (onglet Main)

Fix checked (coche la petite case en face des lignes ci-dessous)

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)

RXToolbar : Adware : Logiciel affichant des fenêtres publicitaires d’entrée/sortie…
http://www3.ca.com/securityadvisor/pest/pe…px?id=453094367
http://vil.nai.com/vil/content/v_135023.htm

O4 - HKLM\…\Run: [SW20] C:\WINDOWS\system32\sw20.exe <-- ??
O4 - HKLM\…\Run: [SW24] C:\WINDOWS\system32\sw24.exe <-- ??
ça te parle ces deux extensions ?? très suspect


O4 - Startup: RegFreeze.lnk = E:\Internet\RegFreeze\regfreeze.exe
(franchement de la me*de ce soft - je désinstallerais à ta place…)

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll

O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
les lignes 020 ne peuvent être corrigées avec l’hIjack - essaye de virer la dll avec la killbox (en espérant que ça suffise)

FERME HIJACK

=========== ============= ============ ========== =====

KillBox
http://www.bleepingcomputer.com/files/killbox.php

  • Ouvir le bloc-notes et copier/coller comme suit :
    C:\WINDOWS\system32\msupdate32.dll
  • enregistre-le/nomme-le et envoie-le sur le Bureau

voir mon screen qui est fait pour plusieurs dll à détruire, tu n’en as qu’1 seule (donc : 1) & 2) ensuite clic/croix rouge et répondre 2 fois yes aux 2 messages)
http://img193.imageshack.us/img193/159/killboxscreen9bj.jpg

======= =========== ============= =========== =========

  • Reboot en mode normal

  • Lance CCleaner
    analyse et corrige les erreurs (Windows & Applications) y compris le balayage du regsitre (icône reg) avec sauvegarde à la fin de l’analyse pour cette partie - décoche avant la case Corbeille, il vaut mieux que tu fasses cette opération toujours à la main c’est plus prudent

  • Recache les fichiers système (opération inverse) (important)

  • Réactive ta restauration système (important)

  • Relance Hijack et copie/colle un nouveau log pour vérif

@ ++ si tu piges pas un truc demande :sol:

copie/colle le post dans le bloc-notes (nommer etc …) et envoie-le sur le Bureau pour t’aider

je te remercie de ton aide
j’ai essayé de faire ce que tu m’as dit, mais je ne pige pas ce que tu me demandes de faire avec killbox . sinon voici le nouveau rapport de hijack:
Logfile of HijackThis v1.99.1
Scan saved at 00:38:49, on 22/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
E:\ANTIVIRUS\ANTIVIRXP\AVGUARD.EXE
E:\ANTIVIRUS\Avast4\aswUpdSv.exe
E:\ANTIVIRUS\Avast4\ashServ.exe
E:\ANTIVIRUS\AntiVirXp\AVWUPSRV.EXE
E:\Systeme\ewido security suite\ewidoctrl.exe
E:\Systeme\ewido security suite\ewidoguard.exe
E:\Systeme\Kério\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Systeme\Kério\Personal Firewall 4\kpf4gui.exe
E:\ANTIVIRUS\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
E:\ANTIVIRUS\Avast4\ashWebSv.exe
E:\Systeme\Kério\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\MSI\Live Update 3\LMonitor.exe
E:\ANTIVI~1\Avast4\ashDisp.exe
E:\ANTIVIRUS\AntiVirXp\AVGNT.EXE
E:\CyberLink DVD\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
E:\systeme\WINPAT~1\winpatrol.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\MSI\3DTurbo\3D!Turbo.exe
E:\MSI\MSI SecureDoc\Logon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\BinarySense\HDDlife\HDDlifePro.exe
E:\Fichiers d’installations\Sécurité\Antivirus\Nouveau dossier\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.254.253:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [nwiz] nwiz.exe /install
O4 - HKLM\…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\…\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\…\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\…\Run: [avast!] E:\ANTIVI~1\Avast4\ashDisp.exe
O4 - HKLM\…\Run: [AVGCtrl] “E:\ANTIVIRUS\AntiVirXp\AVGNT.EXE” /min
O4 - HKLM\…\Run: [RemoteControl] “E:\CyberLink DVD\PowerDVD\PDVDServ.exe”
O4 - HKLM\…\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM\…\Run: [WinPatrol] e:\systeme\WINPAT~1\winpatrol.exe
O4 - HKLM\…\Run: [gcasServ] “C:\Program Files\Microsoft AntiSpyware\gcasServ.exe”
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU\…\Run: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O4 - Startup: HDDlife.lnk = C:\Program Files\BinarySense\HDDlife\HDDlifePro.exe
O4 - Global Startup: 3D!Turbo Experience.lnk = E:\MSI\3DTurbo\3D!Turbo.exe
O4 - Global Startup: Microsoft Office.lnk = E:\OFFICE XP\Office10\OSA.EXE
O4 - Global Startup: SecureDoc.lnk = E:\MSI\MSI SecureDoc\Logon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111…all/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse…pDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\…\{1ECA2E8D-8EDD-4F5A-B2FB-902881E0C159}: NameServer = 192.168.254.253,213.244.0.15
O17 - HKLM\System\CS1\Services\Tcpip\…\{1ECA2E8D-8EDD-4F5A-B2FB-902881E0C159}: NameServer = 192.168.254.253,213.244.0.15
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\ANTIVIRUS\ANTIVIRXP\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\ANTIVIRUS\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\ANTIVIRUS\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\ANTIVIRUS\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\ANTIVIRUS\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\ANTIVIRUS\AntiVirXp\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - E:\Systeme\ewido security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - E:\Systeme\ewido security suite\ewidoguard.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - E:\Systeme\Kério\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

J’espere que tout va bientot rentrer dans l’ordre !!!
Sinon mon arriere plan n’est toujours pas revenu !!!

Merci beaucoup

Fred

:hello: tu ne piges pas comment utiliser la killbox même avec le screen écran :??:
la ligne 020 a disparu de toute manière, donc c’est ok

:heink: Il manque le rapport d’Ewido
, ça m’aurait aidé pour voir quels types de spywares étaient présents

Pour l’arrière-plan du Bureau, vérifie

Démarrer > panneau de configuration > “apparence et thèmes” > Bureau> Personnalisation du bureau >>onglet Web
supprime (si …) tout ce qui est inscrit, sauf : “Ma page d’accueil” qui doit être décochée

  • ensuite remet le fond d’écran de ton choix
    attention! décocher verrouiller les éléments du bureau<-- si option cochée et revérouiller éventuellement par la suite (user choice)

Le log hijack est clean lui

Vider le dossier Prefetch

  • Poste de travail
  • Lecteur : C\ ou/et E:\
  • Windows (C:\Windows)
  • Prefetch (C:\Windows\prefetch)
    Supprime tous les fichiers de ce dossier sauf “layout.ini” >> dans la Corbeille récupére et restaure le fichier “layout.ini” ça va plus vite à faire comme ça :lol:
    Bien que la suppression de ce fichier n’est pas grande importance et se régénère au prochain reboot

Télécharge Spy Sweeper (30 jours d’essai gratuit) et scanne ta machine (toujours hors connexion of course)
http://www.webroot.com/fr/index.php

Normalement tout devrait rentrer dans l’ordre

@ +

salut!
pour le fond d’ecran , rien a faire , l’onglet parcourir est bloqué, meme le menu avec les arrieres plan windows.
Pour l’instant le pc n’a pas encore redémarrer !!!!!
Je te tiens au courant
et encore merci pour ton aide
Fréd

Tu peux pas relancer Ewido ou copier le dernier rapport, pour voir quels types de spywares sont listés ? combattre un truc sans le connaitre ? - si c’est une des nombreuses variantes L2Me autant savoir :neutre:

Essaye Spy Sweeper aussi @+


ewido security suite - Rapport de scan

  • Créé le: 23:36:39, 23/11/2005

  • Somme de contrôle: 5E3ABA9

  • Résultats du scan:

    C:\!KillBox\msupdate32.dll -> TrojanDownloader.Agent.aab : Nettoyer et sauvegarder
    C:\Documents and Settings\fredo\Cookies\fredo@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
    C:\Documents and Settings\fredo\Cookies\fredo@serving-sys[1].txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder
    C:\Documents and Settings\fredo\Cookies\fredo@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
    C:\Program Files\TBONBin\TBONWnd.EXE -> Adware.BetterInternet : Nettoyer et sauvegarder
    C:\WINDOWS\Downloaded Program Files\drsmartload185a.exe -> TrojanDownloader.VB.qr : Nettoyer et sauvegarder
    C:\WINDOWS\system32\ll.exe -> Trojan.Crypt.l : Nettoyer et sauvegarder
    C:\WINDOWS\system32\sysvcs.exe -> Trojan.Crypt.l : Nettoyer et sauvegarder
    C:\WINDOWS\system32\~update.exe -> Trojan.Crypt.l : Nettoyer et sauvegarder
    C:\WINDOWS\tool4.exe -> TrojanDropper.Agent.abu : Nettoyer et sauvegarder
    E:\ANTIVIRUS\AntiVirXp\INFECTED\MSPOSTSP.EXE.001 -> Trojan.Inject.i : Nettoyer et sauvegarder
    E:\ANTIVIRUS\AntiVirXp\INFECTED\MSPOSTSP.EXE.VIR -> Trojan.Inject.i : Nettoyer et sauvegarder
    E:\ANTIVIRUS\AntiVirXp\INFECTED\tbon.VIR -> TrojanDownloader.Agent.vr : Nettoyer et sauvegarder

::Fin du rapport

Voila ca que tu m’as demandé. En tout cas le PC ne redemarre plus !!!!
merci
Fréd

Le spyware ne fait plus redémarrer ton ordi ou ton ordi est en rade ?? http://kay.smiley.free.fr/images/1649.gif

Toujours ce problème d’affichage piraté ? même en mode sans échec, tu ne peux changer l’option des pages du Bureau ?

Tu peux supprimer le ou les rapports de sauvegarde d’Ewido ; il a fait son boulot

@+