Problème urgent cocnernant la restauration du système de windows xp

ptitlulu · Mars 17, 2005, 1:42

Logfile of HijackThis v1.99.1
Scan saved at 00:38:52, on 17/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\mcsv.com
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\nvsc32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\scvhost.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Windows TaskAd\WinSched.exe
C:\Program Files\ClockSync\Sync.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\benjamin sidorski\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr8l.hpwis.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxysetup.solent.ac.uk/halls.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\mcsv.com
O1 - Hosts: 212.58.240.33 www.symantec.com
O1 - Hosts: 212.58.240.33 www.sophos.com
O1 - Hosts: 212.58.240.33 www.mcafee.com
O1 - Hosts: 212.58.240.33 www.viruslist.com
O1 - Hosts: 212.58.240.33 www.f-secure.com
O1 - Hosts: 212.58.240.33 www.avp.com
O1 - Hosts: 212.58.240.33 www.kaspersky.com
O1 - Hosts: 212.58.240.33 www.networkassociates.com
O1 - Hosts: 212.58.240.33 www.ca.com
O1 - Hosts: 212.58.240.33 www.my-etrust.com
O1 - Hosts: 212.58.240.33 www.nai.com
O1 - Hosts: 212.58.240.33 www.trendmicro.com
O1 - Hosts: 212.58.240.33 www.grisoft.com
O1 - Hosts: 212.58.240.33 securityresponse.symantec.com
O1 - Hosts: 212.58.240.33 symantec.com
O1 - Hosts: 212.58.240.33 sophos.com
O1 - Hosts: 212.58.240.33 mcafee.com
O1 - Hosts: 212.58.240.33 liveupdate.symantecliveupdate.com
O1 - Hosts: 212.58.240.33 viruslist.com
O1 - Hosts: 212.58.240.33 f-secure.com
O1 - Hosts: 212.58.240.33 kaspersky.com
O1 - Hosts: 212.58.240.33 kaspersky-labs.com
O1 - Hosts: 212.58.240.33 avp.com
O1 - Hosts: 212.58.240.33 networkassociates.com
O1 - Hosts: 212.58.240.33 ca.com
O1 - Hosts: 212.58.240.33 mast.mcafee.com
O1 - Hosts: 212.58.240.33 my-etrust.com
O1 - Hosts: 212.58.240.33 download.mcafee.com
O1 - Hosts: 212.58.240.33 dispatch.mcafee.com
O1 - Hosts: 212.58.240.33 secure.nai.com
O1 - Hosts: 212.58.240.33 nai.com
O1 - Hosts: 212.58.240.33 update.symantec.com
O1 - Hosts: 212.58.240.33 updates.symantec.com
O1 - Hosts: 212.58.240.33 us.mcafee.com
O1 - Hosts: 212.58.240.33 liveupdate.symantec.com
O1 - Hosts: 212.58.240.33 customer.symantec.com
O1 - Hosts: 212.58.240.33 rads.mcafee.com
O1 - Hosts: 212.58.240.33 trendmicro.com
O1 - Hosts: 212.58.240.33 grisoft.com
O1 - Hosts: 212.58.240.33 sandbox.norman.no
O1 - Hosts: 212.58.240.33 www.pandasoftware.com
O1 - Hosts: 212.58.240.33 uk.trendmicro-europe.com
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_22.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM…\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM…\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE
O4 - HKLM…\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM…\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM…\Run: [ccRegVfy] “C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe”
O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM…\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM…\Run: [WhenUSave] C:\Program Files\Save\Save.exe
O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM…\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM…\Run: [Microsoft Update] msawindows.exe
O4 - HKLM…\Run: [msnappau] “C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe”
O4 - HKLM…\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM…\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM…\Run: [NvCplScan] nvsc32.exe
O4 - HKLM…\Run: [SDAv] C:\WINDOWS\svhost.exe
O4 - HKLM…\RunServices: [Microsoft Update] msawindows.exe
O4 - HKLM…\RunServices: [NvCplScan] nvsc32.exe
O4 - HKLM…\RunOnce: [NvCplScan] nvsc32.exe
O4 - HKCU…\Run: [Shareaza] “C:\Program Files\Shareaza\Shareaza.exe” -tray
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU…\Run: [ClockSync] C:\Program Files\ClockSync\Sync.exe /q
O4 - HKCU…\Run: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O4 - HKCU…\Run: [NvCplScan] nvsc32.exe
O4 - HKCU…\Run: [SDAv] C:\WINDOWS\svhost.exe
O4 - HKCU…\RunOnce: [NvCplScan] nvsc32.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://qfr8l.hpwis.com
O16 - DPF: Interface Chat Wanadoo - http://chat9.x-echo.com/version3/Applet/wchatsign.cab
O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/PackageHtmlCab.CAB
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://mangax69.free.fr/coloc/SCENES-CENSUREES.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=f3700d076eeaeca5a7f6c79a1268a6bd235f562e7e7f644ed9ad6d27363ea0905557407a09131ce1102d61ff488a283b943cc183:862fa71a683d4c83963a4ca9d760ebbd
O16 - DPF: {19B6C07F-7AA5-4170-88A9-EF184DC2EC40} - http://38.144.58.94/install.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/MicroPaiement/kit/WebInstall.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = solent.ac.uk
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = solent.ac.uk
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = solent.ac.uk
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Config Loader (cfgldr) - Unknown owner - C:\WINDOWS\System32\scvhost.exe" -service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

Souralloy · Mars 17, 2005, 1:42

TU fais simplement Ctrl-A dans le Bloc-notes pour tout sélectionner puis Ctrl-C pour copier, enfin Ctrl-V dans ton post pour coller.

ptitlulu · Mars 17, 2005, 1:43

en tout cas nglechau merci de m accorder du temps et de m aider, qu est ce que je donnerai pas pour virer ce putain de virus!!!

Souralloy · Mars 17, 2005, 1:44

Oki, attends que je l’examine, OK ?

En attendant, télécharge le fichier que j’ai donné plus haut pour lancer regedit et cmd.

ptitlulu · Mars 17, 2005, 1:47

nglechau un pote s en est sorti en allant ds executer, msconfig demarrage et en decochant svhost et csnns (y en a plusieurs)puis en redemarrant en mode selectif mais moi en ouvant msconfig la fenetre se barre direct rien le temps de faire comme pour cmd ou regedit.
ce scan va t il m aider?

ptitlulu · Mars 17, 2005, 1:49

nglechau j arrive a ouvrir regedit.com!!!

Souralloy · Mars 17, 2005, 1:59

Bien, voilà à fixer dans HijackThis :

Alors, tu coches ces cases puis cliques sur le bouton Fix checked.

Mais ça n’aura pas d’effet définitif si tu n’arrives pas désactiver la restauration système.

C:\WINDOWS\System32\mcsv.com
C:\WINDOWS\System32\nvsc32.exe <-- Backdoor.IRC.Bot http://securityresponse.symantec.com/avcenter/venc/data/backdoor.irc.bot.html
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe <-- MyWebSearch Adware
C:\Program Files\Winamp\winampa.exe <-- Winamp agent : inutile.
C:\WINDOWS\System32\scvhost.exe <-- virus à coup sûr.
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe <-- MSN Toolbar Updater : inutile
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe <-- inutile
C:\Program Files\Windows TaskAd\WinTaskAd.exe <-- WindUpdate Adware
C:\Program Files\Windows TaskAd\WinSched.exe <-- WindUpdate Adware

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\mcsv.com

Fixe toutes ces lignes :
O1 - Hosts: 212.58.240.33 www.symantec.com
O1 - Hosts: 212.58.240.33 www.sophos.com
O1 - Hosts: 212.58.240.33 www.mcafee.com
O1 - Hosts: 212.58.240.33 www.viruslist.com
O1 - Hosts: 212.58.240.33 www.f-secure.com
O1 - Hosts: 212.58.240.33 www.avp.com
O1 - Hosts: 212.58.240.33 www.kaspersky.com
O1 - Hosts: 212.58.240.33 www.networkassociates.com
O1 - Hosts: 212.58.240.33 www.ca.com
O1 - Hosts: 212.58.240.33 www.my-etrust.com
O1 - Hosts: 212.58.240.33 www.nai.com
O1 - Hosts: 212.58.240.33 www.trendmicro.com
O1 - Hosts: 212.58.240.33 www.grisoft.com
O1 - Hosts: 212.58.240.33 securityresponse.symantec.com
O1 - Hosts: 212.58.240.33 symantec.com
O1 - Hosts: 212.58.240.33 sophos.com
O1 - Hosts: 212.58.240.33 mcafee.com
O1 - Hosts: 212.58.240.33 liveupdate.symantecliveupdate.com
O1 - Hosts: 212.58.240.33 viruslist.com
O1 - Hosts: 212.58.240.33 f-secure.com
O1 - Hosts: 212.58.240.33 kaspersky.com
O1 - Hosts: 212.58.240.33 kaspersky-labs.com
O1 - Hosts: 212.58.240.33 avp.com
O1 - Hosts: 212.58.240.33 networkassociates.com
O1 - Hosts: 212.58.240.33 ca.com
O1 - Hosts: 212.58.240.33 mast.mcafee.com
O1 - Hosts: 212.58.240.33 my-etrust.com
O1 - Hosts: 212.58.240.33 download.mcafee.com
O1 - Hosts: 212.58.240.33 dispatch.mcafee.com
O1 - Hosts: 212.58.240.33 secure.nai.com
O1 - Hosts: 212.58.240.33 nai.com
O1 - Hosts: 212.58.240.33 update.symantec.com
O1 - Hosts: 212.58.240.33 updates.symantec.com
O1 - Hosts: 212.58.240.33 us.mcafee.com
O1 - Hosts: 212.58.240.33 liveupdate.symantec.com
O1 - Hosts: 212.58.240.33 customer.symantec.com
O1 - Hosts: 212.58.240.33 rads.mcafee.com
O1 - Hosts: 212.58.240.33 trendmicro.com
O1 - Hosts: 212.58.240.33 grisoft.com
O1 - Hosts: 212.58.240.33 sandbox.norman.no
O1 - Hosts: 212.58.240.33 www.pandasoftware.com
O1 - Hosts: 212.58.240.33 uk.trendmicro-europe.com
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_22.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM…\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE <-- dialer : à virer
O4 - HKLM…\Run: [WhenUSave] C:\Program Files\Save\Save.exe
O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe <-- adware
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe <-- inutile
O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe <-- inutile
O4 - HKLM…\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup <-- adware
O4 - HKLM…\Run: [Microsoft Update] msawindows.exe
O4 - HKLM…\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe <-- inutile
O4 - HKLM…\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM…\Run: [NvCplScan] nvsc32.exe
O4 - HKLM…\Run: [SDAv] C:\WINDOWS\svhost.exe
O4 - HKLM…\RunServices: [Microsoft Update] msawindows.exe
O4 - HKLM…\RunServices: [NvCplScan] nvsc32.exe
O4 - HKLM…\RunOnce: [NvCplScan] nvsc32.exe
O4 - HKCU…\Run: [NvCplScan] nvsc32.exe
O4 - HKCU…\Run: [SDAv] C:\WINDOWS\svhost.exe
O4 - HKCU…\RunOnce: [NvCplScan] nvsc32.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/PackageHtmlCab.CAB
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://mangax69.free.fr/coloc/SCENES-CENSUREES.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?b […] 4c83963a4ca9d760ebbd
O16 - DPF: {19B6C07F-7AA5-4170-88A9-EF184DC2EC40} - http://38.144.58.94/install.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebprod […] tialSetup1.0.0.6.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/MicroPaiement/kit/WebInstall.dll
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = solent.ac.uk
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = solent.ac.uk
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = solent.ac.uk
O23 - Service: Config Loader (cfgldr) - Unknown owner - C:\WINDOWS\System32\scvhost.exe" -service (file missing)

A faire en mode sans échec.

Puis revois la page que j’ai donnée dans mon premier post pour retrouver l’onglet Restauration système.

Suis les posts pour Serom plus haut pour retrouver les Options des dossiers.

Souralloy · Mars 17, 2005, 2:01

msconfig, onglet Démarrage fait une partie de ce que fait HijackThis. Donc en passant par ce log, ça inclut la manip de ton ami.

Mais il faut à tout prix désactivé la restauration système. Ta machine est sérieusement infectée.

Souralloy · Mars 17, 2005, 2:04

Si tu peux encore ouvrir le gestionnaire de services par :
Démarrer -> Exécuter -> services.msc -> OK
alors cherche le service Restauration système dans la liste et double clique dessus -> changer son type de démarrage en Désactivé puis clique sur le bouton Arrêter. Ca peut peut-être t’aider en partie.

ptitlulu · Mars 17, 2005, 2:05

allo

ptitlulu · Mars 17, 2005, 2:06

ca fait longtemps que t as repondu, car ca vient de me parvenir. merci,alors

Souralloy · Mars 17, 2005, 2:11

Voilà, je vais :sleep:

Je résume ce que tu as à faire maintenant :

dans regedit, cherche la valeur NoFolderOptions comme indiquée pour Serom et supprime-la (ou mets-la à 0, c’est pareil)
vérifie si tu retrouves les Options des dossiers
reboot en mode sans échec puis suis le guide pour retrouver l’onglet Restauration système.
désactive la restauration
vide ton dossier temp : après avoir affiché les dossiers caché : supprime tout ce qui est dans C:\Documents and Settings<ton_compte>\Local Settings\temp
vide le cache Internet : Panneau de config -> Options Internet -> onglet Général -> bouton Supprimer… : n’oublie pas de cocher Supprimer le contenu hors-ligne
relance HijackThis et coches les lignes que j’ai données et fais Fix checked.
reboot
refais un autre scan HijackThis et poste le log ici
active le pare-feu avant de te reconnecter à l’Internet (Panneau de config -> Connexion réseau -> clique droit sur le nom de la connexion -> Propriétés -> onglet Avancer -> cocher la case Protéger…)
fais un scan sur secuser.com

Souralloy · Mars 17, 2005, 2:12

Le temps que je rédigeais…

Ok, fais tout ce que je viens de lister puis poster le résultat ici, OK ?

@+

ptitlulu · Mars 17, 2005, 2:13

nglechau tu veux que je coche toutes ces lignes mais tu en as supprimé bcp, dsl de te demander ca mais tu es sur de toi? et les premières lignes: C:/… n apparaissent pas ds mo, scan. et fo faire ca en mode sans echec??

Souralloy · Mars 17, 2005, 7:07

Les permières lignes ne sont pas dans le scan, elles réapparaissent plus tard dans les lignes Oxx, donc quand tu coches ces lignes et les fixes, les exécutables C:… seront aussi éliminés.

Au fait, solent.ac.uk est ton université ? Y as-tu un accès privé (identification avec mot de passe) ? Si c’est le cas, tu peux laisser ces lignes :
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = solent.ac.uk
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = solent.ac.uk
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = solent.ac.uk
sinon, fixe-les également.

Pour le reste, oui, je suis sûr de ce qui est à supprimer. Ta machine est remplie de trojans et adwares de tout genre. Il ne faut pas cliquer n’importe où et surtout éviter les sites pas très catholiques

mike27 · Mars 17, 2005, 10:49

Après tout ces malheurs, toutes ces manips etc
ne pas oublier de réactiver la Restauration Systême quand même

Par suite d’un systeme infecté, elle devient un danger potentiel de réinjection de virus en ayant sauvegardé sagement des fichiers systeme infectés . C’est pourquoi il vaut mieux supprimer la restauration, désinfecter, et la ré-autoriser ensuite.

Voir ce topic section 1, pour le plan à suivre en cas d’infection du PC.

ptitlulu · Mars 17, 2005, 12:43

nglechau t es la??

ptitlulu · Mars 17, 2005, 12:46

le pb c est que avant de fixer quoi que ce soit, on est d accord qu il vo mieux que je desactive la restauration systeme, mais pour ca fo avoir les options des dossiers!!! chose que j n ai pas (ou pas vu en tout cas) meme en ayant mis la vlauer nofolder options sur O.

mike27 · Mars 17, 2005, 1:48

attention: c’est un 0 (zéro) et non un O

revérifie dans ces 2 clés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

car elle peut aussi etre dans HKEY_LOCAL_MACHINE qui dans ce cas s’applique à TOUS les utilisateurs

ptitlulu · Mars 17, 2005, 1:51

ca c est fait c est mis a 0 mais dans cmd je n arrive pas a rentrer la ligne demandée