ils disent de rentrer cacls"lecteur:/system volume information"/E/G nomutilisateur :F et quand je rentre cette ligne (deja je pe pas aller a la ligne pour ecire ca j suis obligé de l écrire a la suite de ce qui est deja ecrit)ils disent que c est incorrect
ok : ça doit etre dû au fait que tu colles un peu tout
Dans la fenetre Invite de commande: tu tapes
CD \ <- ceci te remontera à la racine C:
puis sépare bien les champs comme ceci:
cacls “c:\System Volume Information” /E /G votre_nom_d’utilisateur:F
on en parle aussi ici:
http://www.hotline-pc.org/WHISTLER/dossierxp.htm#b10
edit le :F derriere le nom d’utilisateur doit etre collé, lui
genre: TOTO:F
ok ca y es, merci et apres je fais quoi???
[je dois m’absenter un bout de temps]
voila n arrivant pas a m en sortir avec l invite de commandes, j ai fixer tout ce que tu m as dit dans le scan nglechau et la première fois ca n a pas marché, apparemment des fichiers que tu ne m as pas dit de fixer etaient louches (csnss…) je l ai refait pareil en fixant egalement ces fichiers la, beaucoup de choses avaient deja ete supprimées par la première tentative et n apparaissaient deja plus. cependant d autres que j avais deja fixé etaient revenues…enfin je les ai refixé en plus des fichiers louches que je t ai decris, et cette foid apparemment, je dis bien apparemment, il n y a plus les symptomes du virus, en tout cas plus rien ne se ferme tout seul, mais pour combien de temps??? en tout cas merci pour le temps que toi et mike 27 m’accordez.
merci pour le merci
Apparemment, ça s’arrange
Toutefois, reprendre la page Symantec : onglet ’ removal instructions’
voir et controler le paragraphe: 4. To delete the value from the registry
les modifs faites par le ver sont là : suivre les instructions
est-ce que tu connais l’anglais pour faire ça?
dis moi mike 27 si je t envoies une scan de du disque d une copine comme celui que j ai envoyé a nglechau plus haut, y aurait moyen svp que tu y jettes un coup d oeil et me dises ce qu il y a a fixer et ce qu il y a a garder. merci d avance.
Logfile of HijackThis v1.99.1
Scan saved at 4:12:58 PM, on 3/17/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mcsv.com
C:\WINDOWS\Explorer.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\necmfk\necmfk.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Packard Bell EverSafe\TrayControl.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Messenger\msmsgs.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\THIDA IEM\Bureau\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crzgqmnyuo.net/RKvil2clihzf8cMP6AA3f/q3z24XMhqJ13Hlz3G6yyNofvU4l4cbn9rwcUaU7eL2.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mcsv.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM…\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM…\Run: [NECMFK] C:\Program Files\necmfk\necmfk.exe
O4 - HKLM…\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM…\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM…\Run: [NovaNet-WEB Tray Control] C:\Program Files\Packard Bell EverSafe\TrayControl.exe
O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\Winampa.exe”
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [MessengerPlus3] “C:\Program Files\Messenger Plus! 3\MsgPlus.exe”
O4 - HKLM…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU…\Run: [MessengerPlus3] “C:\Program Files\Messenger Plus! 3\MsgPlus.exe” /WinStart
O4 - HKCU…\Run: [WAVE SUPPORT] C:\DOCUME~1\THIDAI~1\APPLIC~1\SHOWTI~1\DaleNounCash.exe
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\microsoft office\office10\OSA.EXE
O4 - Global Startup: Packard Bell EverSafe Tray Control.lnk = C:\Program Files\Packard Bell EverSafe\TrayControl.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
voila c ca, lol bon courage
J’ai regardé : il n’est pas franchement infecté ce PC, mais il y a quelques trucs à vérifier.
Je vais te dire comment faire et tu seras un champion de HJT
Tu vas copier/coller le rapport HJT et le soumettre à un site d’analyse en ligne,ici:
http://hijackthis.de/index.php?langselect=french
Ce site va analyser très rapidement ce qui est Bon, Inconnu, Méchant ,Eventuellement méchant, etc ( ce sont leur termes 
Comme le site ne connait pas forcément tous les programmes qui existent dans le monde, il faut voir si leur présence sur le PC est connue ( suite à l’installation du-dit programme) et normale .
là, il faut vérifier (pour ceux qu’il ne connait pas) puis fixer :
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mcsv.com <- attention à lui
O4 - HKLM…\Run: [NovaNet-WEB Tray Control] C:\Program Files\Packard Bell EverSafe\TrayControl.exe <- si tu connais Packard Bell Eversafe c’est bon
O4 - HKCU…\Run: [WAVE SUPPORT] C:\DOCUME~1\THIDAI~1\APPLIC~1\SHOWTI~1\DaleNounCash.exe <- ne m’inspire pas, mais je ne connais pas non plus . Ca a l’air d’etre ShowTime ?
O4 - Global Startup: Packard Bell EverSafe Tray Control.lnk = C:\Program Files\Packard Bell EverSafe\TrayControl.exe <- c’est du Packard , surement pas dangereux
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm <- ?? doute
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
Hmm, sauf erreur de ma part, je ne trouve pas csnss dans ton premier rapport HJT :??:
Sinon, récapitulons :
- as-tu bien désactivé la Restauration système avant le dernier scan et fixe HJT ?
- as-tu passé ta machine à un antivirus en ligne ?
- as-tu suivi le lien donné par Mike (
et merci pour le coup de main :super: ) ? - as-tu activé le pare-feu ?
- si ta machine est de nouveau propre, as-tu réactivé la restauration système comme disait Mike ?
Essaie de lire attentivement nos suggestions, de les suivre et de nous tenir au courant de ce qui a été fait. Les virus sont malins, tu sais…
nlechau =>
de rien pour le coup de main,mais c’est toi qui a fait le principal
Pour en revenir à la toute première question du topic ( absence de l’onglet ‘Restauration du systeme’, c’était donc dû à ça ( extrait de la fiche Symantec):
g # Remove or restore the registry values if appropriate:
“DisableConfig” = “1”
“DisableSR” = “1”
In the registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
Je pense aussi qu’il faudrait faire le point.
Si pas de nouvelles, bonnes nouvelles.
D’un point de vue pure technique:
Si l’utilisateur désactive la restauration APRES la désinfection du PC, pense-tu que ce soit grave ? car après tout, s’il y a des virus dans les fichiers de restauration systeme, ils sont présents, mais ‘dormants’ si on veut .
C’est une question que je me pose parfois. Mais de toute manière, il FAUT la désactiver de façon à détruire les fichiers de restauration, là on est bien d’accord.
Comme tu dis, espérons 
Techniquement :D, entre le temps de la dernière désinfection et la désactivation du système, il y a à mon avis une probabilité que le virus soit de nouveau réinséré dans le système (ça dépend de sa nature entre d’autres facteurs). Donc systématiquement je suggère un deuxième (re)scan après la désactivation.
Prudence prudence
@+